[Информационная безопасность, IT-инфраструктура, Софт, IT-компании] Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными. Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber Defense Operations Center (CDOC). Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst). Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения. Некоторые примеры тактики уклонения хакеров: методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере, маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве, отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них, создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись, отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах. Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках. Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK». Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта.
После этого этапа злоумышленники подготовили внедрение Cobalt Strike и к началу мая выбрали цели.
Удаление функции создания бэкдора и скомпрометированного кода из бинарных файлов SolarWinds в июне может указывать на то, что к этому времени злоумышленники поразили достаточное количество мишеней, и их интерес сместился с развертывания и активации бэкдора (этап 1) для работы в выбранных сетях-жертвах. Ранее в Microsoft после аудита своей инфраструктуры Office 365 и Azure подтвердили факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов.Microsoft пострадала при атаке, в ходе которой хакеры получили доступ к сетям производителя программного обеспечения SolarWinds. Инцидент с получением вредоносного обновления данного ПО затронул компьютерные системы нескольких американских правительственных структур, а также тысячи компаний по всему миру.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] YooMoney (бывшая Yandex.Деньги) плохо борется с мошенниками
- [Разработка игр, Игры и игровые приставки, IT-компании] Разработчики сверхпопулярной игры Among Us объяснили свою медлительность: их всего четверо
- [Беспроводные технологии, Разработка систем связи, Космонавтика, IT-компании] SpaceX вывела на орбиту более 1000 спутников Starlink
- [Информационная безопасность, Расширения для браузеров] Пользователей The Great Suspender предупреждают: контроль над расширением перешёл в руки неизвестным
- [IT-инфраструктура, Виртуализация, Хранение данных] Как мы проводим миграции в облако со сменой гипервизора и без даунтайма
- [Информационная безопасность, IT-инфраструктура, Управление проектами, Софт] Какие проблемы может выявить аудит прав доступа и что с этим делать
- [Законодательство в IT, Игры и игровые приставки, IT-компании] Евросоюз выписал Valve и пяти издателям штрафы на €7,8 млн за геоблокировки
- [Управление разработкой, Управление персоналом, Карьера в IT-индустрии, IT-компании, Удалённая работа] Разработчикам в продуктах делать нечего и до 30 лет надо фигачить
- [Системное администрирование, Программирование, IT-инфраструктура, DevOps] Тонкости настройки CI/CD: как работает GitLab runner, когда использовать Docker-in-Docker и где пригодится Argo CD
- [Разработка игр, Гаджеты, AR и VR, DIY или Сделай сам, IT-компании] Как я делал систему оптического трекинга
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_soft (Софт), #_itkompanii (IT-компании), #_microsoft, #_solarwinds, #_vzlom (взлом), #_hakery (хакеры), #_rassledovanie (расследование), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itinfrastruktura (
IT-инфраструктура
), #_soft (
Софт
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:05
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными. Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber Defense Operations Center (CDOC). Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst). Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения. Некоторые примеры тактики уклонения хакеров: методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере, маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве, отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них, создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись, отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах. Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках. Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK». Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта. После этого этапа злоумышленники подготовили внедрение Cobalt Strike и к началу мая выбрали цели. Удаление функции создания бэкдора и скомпрометированного кода из бинарных файлов SolarWinds в июне может указывать на то, что к этому времени злоумышленники поразили достаточное количество мишеней, и их интерес сместился с развертывания и активации бэкдора (этап 1) для работы в выбранных сетях-жертвах. Ранее в Microsoft после аудита своей инфраструктуры Office 365 и Azure подтвердили факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов.Microsoft пострадала при атаке, в ходе которой хакеры получили доступ к сетям производителя программного обеспечения SolarWinds. Инцидент с получением вредоносного обновления данного ПО затронул компьютерные системы нескольких американских правительственных структур, а также тысячи компаний по всему миру. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_itinfrastruktura ( IT-инфраструктура ), #_soft ( Софт ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:05
Часовой пояс: UTC + 5