微軟最近更深入地解釋了SolarWinds網路攻擊是如何發生的,詳細說明了攻擊的第二階段和使用的惡意軟體型別。
對於一個像太陽風這樣有著如此多引人注目目標的攻擊,仍然有許多問題需要回答。微軟的報告披露了一系列關於這次攻擊的新資訊,涵蓋了攻擊者放棄Sunburst後門後的那段時間。
微軟的安全部落格提供了一個關於“缺失連結”的研究,從Sunburst後門(微軟稱為Solorigate)安裝在SolarWinds到在受害者網路中植入各種型別的惡意軟體。
我們已經知道,SolarWinds是“十年來最複雜、最持久的入侵攻擊”之一,攻擊者“是熟練的戰役操作員,他們精心策劃和執行攻擊,在保持永續性的同時仍然難以捉摸。”
微軟安全部落格證實,最初的Sunburst後門是在2020年2月編譯的,並在3月釋出。然後,攻擊者在2020年6月從SolarWinds建築環境中移除了Sunburst後門。您可以按照下圖中的完整時間線進行操作。
微軟認為,攻擊者隨後花時間準備和分發定製和獨特的鈷擊植入物以及指揮控制基礎設施,“真正的鍵盤動手活動很可能早在5月份就開始了”
從SolarWinds中刪除後門功能意味著攻擊者已經從要求透過供應商進行後門訪問轉向直接訪問受害者的網路。從構建環境中刪除後門是偽裝任何惡意活動的一個步驟。
相關報道:微軟披露太陽風網路攻擊的實際目標
從那裡開始,攻擊者竭盡全力避免被發現,並與攻擊的每個部分保持距離。這背後的部分原因是,即使鈷打擊惡意軟體植入被發現和刪除,太陽風后門仍然可以訪問。
反偵查過程包括:
微軟安全部落格更詳細地探討了一系列技術,其中一個有趣的部分介紹了攻擊者使用的一些真正新穎的反檢測方法。
毫無疑問,在微軟的反應和安全團隊的頭腦中,SolarWinds是有史以來最先進的攻擊之一。
The combination of a complex attack chain and a protracted operation means that defensive soluti*** need to have comprehensive cross-domain visibility into attacker activity and provide months of historical data with powerful hunting tools to investigate as far back as necessary.
可能還會有更多的受害者。我們最近報道說,反惡意軟體專家Malwarebytes也成為網路攻擊的目標,儘管攻擊者使用了不同的進入方法來訪問其網路。
相關報道:Malwarebytes是太陽風網路攻擊的最新受害者
考慮到從最初認識到發生瞭如此巨大的網路攻擊到目標和受害者的範圍,可能還有更多的大型科技公司要向前邁進。
微軟在其2021年1月釋出的補丁中釋出了一系列旨在降低SolarWinds和相關惡意軟體風險的補丁。這些已經上線的補丁緩解了一個零日漏洞,微軟認為該漏洞與SolarWinds網路攻擊有關,並在野外被積極利用。
微軟披露了三個新發現的與SolarWinds網路攻擊有關的惡意軟體變種。同時,它也給太陽風背後的威脅者起了一個特定的追蹤名字:Nobelium。 ...
...的office365套件互動,探測漏洞。報告還證實,這次攻擊與SolarWinds無關。SolarWinds是一次巨大的網路攻擊,影響了多家美國**機構以及幾家領先的科技公司。 ...
...組沒有引起轟動並提醒使用者它的存在,而是搜尋系統和網路安全;誰負責,執行什麼保護,惡意軟體在哪裡可以發現漏洞,什麼攻擊最有可能成功,等等。 ...
作為對SolarWinds網路攻擊的直接回應,微軟準備向微軟365新增一個新的國家駭客活動警告。這些警告將提醒使用者任何來自民族國家攻擊者的潛在威脅,讓使用者有時間對威脅作出反應。 ...
...監視太陽風襲擊嗎?反惡意軟體巨頭Malwarebytes是最新宣佈SolarWinds攻擊者入侵其網路的主要科技公司。 ...
... 在SolarWinds的背景下,通常大量的安全補丁在本月顯得格外重要。SolarWinds是一種複雜的攻擊,在2020年12月襲擊了美國**和主要科技公司。 ...
微軟證實,SolarWinds網路攻擊背後的攻擊者在直接訪問特定帳戶後,成功訪問了公司原始碼。 ...
... 第三方軟體供應鏈攻擊的一個主要例子是SolarWinds,它的Orion遠端管理軟體在2020年遭到破壞。攻擊者在軟體更新過程中**惡意後門。 ...
... 什麼是太陽風網路攻擊(the solarwinds cyberattack)? ...