[Информационная безопасность, IT-инфраструктура, Софт, IT-компании] Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
21-Янв-2021 15:33

Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными. Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC). Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst). Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения. Некоторые примеры тактики уклонения хакеров: методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере, маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве, отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них, создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись, отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах. Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках. Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK». Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта.
После этого этапа злоумышленники подготовили внедрение Cobalt Strike и к началу мая выбрали цели.
Удаление функции создания бэкдора и скомпрометированного кода из бинарных файлов SolarWinds в июне может указывать на то, что к этому времени злоумышленники поразили достаточное количество мишеней, и их интерес сместился с развертывания и активации бэкдора (этап 1) для работы в выбранных сетях-жертвах. Ранее в Microsoft после аудита своей инфраструктуры Office 365 и Azure подтвердили факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов.Microsoft пострадала при атаке, в ходе которой хакеры получили доступ к сетям производителя программного обеспечения SolarWinds. Инцидент с получением вредоносного обновления данного ПО затронул компьютерные системы нескольких американских правительственных структур, а также тысячи компаний по всему миру.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_soft (Софт), #_itkompanii (IT-компании), #_microsoft, #_solarwinds, #_vzlom (взлом), #_hakery (хакеры), #_rassledovanie (расследование), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_itinfrastruktura (
IT-инфраструктура
)
, #_soft (
Софт
)
, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:05
Часовой пояс: UTC + 5