微軟披露solarwinds網路攻擊第二階段過程

看看大規模網路攻擊到底有多複雜。...

微軟最近更深入地解釋了SolarWinds網路攻擊是如何發生的，詳細說明了攻擊的第二階段和使用的惡意軟體型別。

對於一個像太陽風這樣有著如此多引人注目目標的攻擊，仍然有許多問題需要回答。微軟的報告披露了一系列關於這次攻擊的新資訊，涵蓋了攻擊者放棄Sunburst後門後的那段時間。

微軟詳述solarwinds網路攻擊第二階段

微軟的安全部落格提供了一個關於“缺失連結”的研究，從Sunburst後門（微軟稱為Solorigate）安裝在SolarWinds到在受害者網路中植入各種型別的惡意軟體。

我們已經知道，SolarWinds是“十年來最複雜、最持久的入侵攻擊”之一，攻擊者“是熟練的戰役操作員，他們精心策劃和執行攻擊，在保持永續性的同時仍然難以捉摸。”

微軟安全部落格證實，最初的Sunburst後門是在2020年2月編譯的，並在3月釋出。然後，攻擊者在2020年6月從SolarWinds建築環境中移除了Sunburst後門。您可以按照下圖中的完整時間線進行操作。

微軟認為，攻擊者隨後花時間準備和分發定製和獨特的鈷擊植入物以及指揮控制基礎設施，“真正的鍵盤動手活動很可能早在5月份就開始了”

從SolarWinds中刪除後門功能意味著攻擊者已經從要求透過供應商進行後門訪問轉向直接訪問受害者的網路。從構建環境中刪除後門是偽裝任何惡意活動的一個步驟。

相關報道：微軟披露太陽風網路攻擊的實際目標

從那裡開始，攻擊者竭盡全力避免被發現，並與攻擊的每個部分保持距離。這背後的部分原因是，即使鈷打擊惡意軟體植入被發現和刪除，太陽風后門仍然可以訪問。

反偵查過程包括：

在每臺機器上部署獨特的鈷打擊植入物
在繼續橫向網路移動之前，始終禁用計算機上的安全服務
擦除日誌和時間戳以擦除示意圖，甚至在重新開啟之前禁用日誌記錄一段時間以完成任務。
匹配所有檔名和資料夾名以幫助偽裝受害者系統上的惡意軟體包
使用特殊防火牆規則對惡意程序的傳出資料包進行模糊處理，然後在完成時刪除規則

微軟安全部落格更詳細地探討了一系列技術，其中一個有趣的部分介紹了攻擊者使用的一些真正新穎的反檢測方法。

太陽風是有史以來最複雜的駭客之一

毫無疑問，在微軟的反應和安全團隊的頭腦中，SolarWinds是有史以來最先進的攻擊之一。

The combination of a complex attack chain and a protracted operation means that defensive soluti*** need to have comprehensive cross-domain visibility into attacker activity and provide months of historical data with powerful hunting tools to investigate as far back as necessary.

可能還會有更多的受害者。我們最近報道說，反惡意軟體專家Malwarebytes也成為網路攻擊的目標，儘管攻擊者使用了不同的進入方法來訪問其網路。

相關報道：Malwarebytes是太陽風網路攻擊的最新受害者

考慮到從最初認識到發生瞭如此巨大的網路攻擊到目標和受害者的範圍，可能還有更多的大型科技公司要向前邁進。

微軟在其2021年1月釋出的補丁中釋出了一系列旨在降低SolarWinds和相關惡意軟體風險的補丁。這些已經上線的補丁緩解了一個零日漏洞，微軟認為該漏洞與SolarWinds網路攻擊有關，並在野外被積極利用。