SolarWinds Cyberattack-Prozess der zweiten Phase von Microsoft enthüllt

Eskere Guru

Microsoft hat kürzlich ausführlicher erläutert, wie der Cyberangriff von SolarWinds stattgefunden hat, und dabei die zweite Phase des Angriffs und die verwendeten Malware-Typen detailliert beschrieben.

Für einen Angriff mit so vielen hochkarätigen Zielen wie SolarWinds müssen noch viele Fragen beantwortet werden. Der Bericht von Microsoft enthüllt eine Fülle neuer Informationen über den Angriff, die den Zeitraum abdecken, in dem die Angreifer die Sunburst-Hintertür fallen ließen.

Microsoft Details Zweite Phase des SolarWinds-Cyberangriffs

Der Microsoft-Sicherheitsblog bietet einen Einblick in "Das fehlende Glied", den Zeitraum von der Installation der Sunburst-Hintertür (von Microsoft als Solorigate bezeichnet) bei SolarWinds bis zur Implantation verschiedener Malware-Typen in die Netzwerke des Opfers.

Wie wir bereits wissen, ist SolarWinds einer der "raffiniertesten und langwierigsten Angriffsangriffe des Jahrzehnts", und die Angreifer "sind qualifizierte Kampagnenbetreiber, die den Angriff sorgfältig geplant und ausgeführt haben und schwer fassbar bleiben, während sie die Persistenz beibehalten."

Der Microsoft Security-Blog bestätigt, dass die ursprüngliche Sunburst-Backdoor im Februar 2020 kompiliert und im März verteilt wurde. Anschließend haben die Angreifer im Juni 2020 die Sunburst-Hintertür aus der SolarWinds-Build-Umgebung entfernt. Sie können der vollständigen Zeitleiste im folgenden Bild folgen.

SolarWinds Cyberattack-Prozess der zweiten Phase von Microsoft enthüllt - microsoft solarwinds attack timeline

Microsoft glaubt, dass die Angreifer dann Zeit damit verbracht haben, benutzerdefinierte und einzigartige Cobalt Strike-Implantate und eine Befehls- und Kontrollinfrastruktur vorzubereiten und zu verteilen, und dass die "echte praktische Aktivität auf der Tastatur höchstwahrscheinlich bereits im Mai begonnen hat".

Das Entfernen der Backdoor-Funktion aus SolarWinds bedeutet, dass die Angreifer von der Anforderung eines Backdoor-Zugriffs durch den Anbieter zum direkten Zugriff auf die Netzwerke des Opfers übergegangen sind. Das Entfernen der Hintertür aus der Build-Umgebung war ein Schritt, um böswillige Aktivitäten zu verschleiern.

Verwandte Themen : Microsoft enthüllt aktuelles Ziel von SolarWinds Cyberattack

Von dort aus unternahm der Angreifer große Anstrengungen, um zu vermeiden, dass jeder Teil des Angriffs entdeckt und entfernt wurde. Ein Grund dafür war, dass die SolarWinds-Hintertür auch dann zugänglich war, wenn das Cobalt Strike-Malware-Implantat entdeckt und entfernt wurde.

Der Anti-Erkennungsprozess umfasste:

  • Einsatz einzigartiger Cobalt Strike-Implantate auf jeder Maschine
  • Deaktivieren Sie immer die Sicherheitsdienste auf Computern, bevor Sie mit der seitlichen Netzwerkbewegung fortfahren
  • Löschen von Protokollen und Zeitstempeln, um Fußabdrücke zu löschen, und sogar Deaktivieren der Protokollierung für einen bestimmten Zeitraum, um eine Aufgabe abzuschließen, bevor Sie sie wieder einschalten.
  • Abgleichen aller Dateinamen und Ordnernamen, um schädliche Pakete auf dem System des Opfers zu tarnen
  • Verwenden Sie spezielle Firewall-Regeln, um ausgehende Pakete für böswillige Prozesse zu verschleiern, und entfernen Sie die Regeln, wenn Sie fertig sind

Der Microsoft Security-Blog befasst sich ausführlicher mit den verschiedenen Techniken. In einem interessanten Abschnitt werden einige der wirklich neuartigen Anti-Erkennungsmethoden vorgestellt, die die Angreifer verwendet haben.

SolarWinds ist einer der anspruchsvollsten Hacks, die je gesehen wurden

In den Köpfen der Reaktions- und Sicherheitsteams von Microsoft besteht kaum ein Zweifel daran, dass SolarWinds einer der fortschrittlichsten Angriffe aller Zeiten ist.

Die Kombination einer komplexen Angriffskette und einer langwierigen Operation bedeutet, dass Verteidigungslösungen eine umfassende domänenübergreifende Sichtbarkeit der Angreiferaktivität benötigen und monatelange historische Daten mit leistungsstarken Jagdwerkzeugen versehen müssen, um so weit wie nötig zurück zu untersuchen.

Es könnten noch weitere Opfer kommen. Wir haben kürzlich berichtet, dass Malwarebytes, ein Antimalwarespezialist, ebenfalls in den Cyberangriff verwickelt war, obwohl die Angreifer eine andere Eingabemethode verwendeten, um Zugriff auf das Netzwerk zu erhalten.

Verwandte: Malwarebytes Neuestes Opfer von SolarWinds Cyberattack

Angesichts des Umfangs zwischen der anfänglichen Erkenntnis, dass ein solch enormer Cyberangriff stattgefunden hat, und der Bandbreite an Zielen und Opfern könnten noch weitere große Technologieunternehmen voranschreiten.

Microsoft hat in seinem Patch Tuesday vom Januar 2021 eine Reihe von Patches veröffentlicht, mit denen das Risiko von SolarWinds und den damit verbundenen Malware-Typen verringert werden soll . Die Patches, die bereits live geschaltet wurden, verringern eine Zero-Day-Sicherheitsanfälligkeit, von der Microsoft glaubt, dass sie mit dem Cyberangriff von SolarWinds in Verbindung steht und die in freier Wildbahn aktiv ausgenutzt wurde.