Microsoft geçtiğimiz günlerde SolarWinds siber saldırısının nasıl gerçekleştiğini daha derinlemesine açıklayarak saldırının ikinci aşamasını ve kullanılan kötü amaçlı yazılım türlerini ayrıntılı olarak açıkladı.

SolarWinds kadar yüksek profilli hedeflere sahip bir saldırı için, cevaplanması gereken birçok soru hala var. Microsoft'un raporu, saldırganların Sunburst arka kapısını düşürdükten sonraki dönemi kapsayan bir dizi yeni bilgi ortaya koyuyor.

Microsoft, SolarWinds Siber Saldırısının İkinci Aşamasıyla İlgili Ayrıntılar

Microsoft Güvenliği blog, Sunburst arka kapısının ( Microsoft tarafından Solorigate), SolarWinds'de kurbanın bilgisayarına çeşitli kötü amaçlı yazılım türlerinin yerleştirilmesi için kuruldu. ağlar.

Zaten bildiğimiz gibi, SolarWinds "on yılın en karmaşık ve uzun süreli saldırı saldırılarından" biridir ve saldırganlar "saldırıyı dikkatlice planlayan ve uygulayan, ancak korunurken yakalanması zor olan yetenekli harekat operatörleridir. sebat. "

Microsoft Security blogu, orijinal Sunburst arka kapısının Şubat 2020'de derlendiğini ve Mart ayında dağıtıldığını doğruluyor. Ardından, saldırganlar Haziran 2020'de SolarWinds inşa ortamından Sunburst arka kapısını kaldırdı. Aşağıdaki görselde tam zaman çizelgesini takip edebilirsiniz.

instagram viewer

Microsoft, saldırganların daha sonra özel ve benzersiz Cobalt Strike implantlarını hazırlamak ve dağıtmak için zaman harcadığına inanıyor. ve komuta ve kontrol altyapısı ve "gerçek klavyede pratik etkinlik büyük olasılıkla Mayıs ayı başlarında başladı."

Arka kapı işlevinin SolarWinds'den kaldırılması, saldırganların, kurbanın ağlarına doğrudan erişim sağlamak için satıcı aracılığıyla arka kapı erişimini zorunlu kılmayı bıraktığı anlamına gelir. Arka kapıyı yapı ortamından çıkarmak, herhangi bir kötü amaçlı etkinliği gizlemeye yönelik bir adımdı.

İlişkili: Microsoft, SolarWinds Siber Saldırısının Gerçek Hedefini Açıkladı

Microsoft, SolarWinds Siber Saldırısının Gerçek Hedefini Açıkladı

Saldırının tek amacı kurbanın ağına girmek değildi.

Oradan saldırgan, tespit edilmekten kaçınmak ve saldırının her bir parçasını uzaklaştırmak için büyük yollara gitti. Bunun arkasındaki gerekçenin bir kısmı, Cobalt Strike kötü amaçlı yazılım implantı keşfedilip kaldırılsa bile, SolarWinds arka kapısının hala erişilebilir olmasıydı.

Algılama önleme süreci şunları içerir:

  • Her makineye benzersiz Cobalt Strike implantları yerleştirme
  • Yanal ağ hareketine geçmeden önce her zaman makinelerde güvenlik hizmetlerini devre dışı bırakma
  • Ayak izlerini silmek için günlükleri ve zaman damgalarını silme ve hatta bir görevi tekrar açmadan önce tamamlamak için günlüğe kaydetmeyi devre dışı bırakacak kadar ileri gitme.
  • Kurbanın sistemindeki kötü amaçlı paketleri kamufle etmeye yardımcı olmak için tüm dosya adlarını ve klasör adlarını eşleştirme
  • Kötü niyetli işlemler için giden paketleri gizlemek için özel güvenlik duvarı kuralları kullanmak, ardından bittiğinde kuralları kaldırmak

Microsoft Security blogu, saldırganların kullandığı gerçekten yeni anti-algılama yöntemlerinden bazılarına ilginç bir bölümle birlikte, çeşitli teknikleri çok daha ayrıntılı olarak araştırıyor.

SolarWinds Görülen En Gelişmiş Hack'lerden Biri

Microsoft'un yanıt ve güvenlik ekiplerinin kafasında, SolarWinds'in şimdiye kadarki en gelişmiş saldırılardan biri olduğuna dair çok az şüphe var.

Karmaşık bir saldırı zinciri ile uzun süreli bir operasyonun birleşimi, savunma çözümlerinin kapsamlı Saldırgan etkinliklerine yönelik etki alanları arası görünürlük ve çok eskilere kadar araştırma yapmak için güçlü av araçlarıyla aylarca geçmiş verileri sağlar gerektiği gibi.

Yine de gelecek daha çok kurban olabilir. Yakın zamanda kötü amaçlı yazılımdan koruma uzmanları Malwarebytes'in de siber saldırıda hedef alındığını bildirmiştik, ancak saldırganlar ağına erişmek için farklı bir giriş yöntemi kullandılar.

İlişkili: Malwarebytes SolarWinds Siber Saldırısının Son Kurbanı

Böylesine muazzam bir siber saldırının gerçekleştiğinin ilk farkına varılması ile hedefler ve kurbanlar arasındaki kapsam göz önüne alındığında, ileriye doğru adım atacak daha büyük teknoloji şirketleri olabilir.

Microsoft, SolarWinds riskini ve içindeki ilişkili kötü amaçlı yazılım türlerini azaltmayı amaçlayan bir dizi yama yayınladı. Ocak 2021 Yaması Salı. Halihazırda canlı hale gelen yamalar, Microsoft'un SolarWinds siber saldırısına bağlandığına inandığı ve vahşi ortamda aktif sömürü altında olduğu sıfır gün güvenlik açığını hafifletiyor.

E-posta adresi
Tedarik Zinciri Hack Nedir ve Nasıl Güvende Kalabilirsiniz?

Ön kapıyı kıramaz mısın? Bunun yerine tedarik zinciri ağına saldırın. İşte bu hack'lerin nasıl çalıştığı.

İlgili konular
  • Güvenlik
  • Teknoloji Haberleri
  • Microsoft
  • Kötü amaçlı yazılım
  • Arka kapı
Yazar hakkında
Gavin Phillips (709 Makale Yayınlandı)

Gavin, Really Useful Podcast'e düzenli olarak katkıda bulunan Windows and Technology Explained için Junior Editor ve MakeUseOf'un kripto odaklı kardeş sitesi Blocks Decoded'in Editörüydü. Devon tepelerinden yağmalanmış Dijital Sanat Uygulamaları ile BA (Hons) Çağdaş Yazma ve on yılı aşkın profesyonel yazma deneyimine sahiptir. Bol miktarda çay, masa oyunları ve futboldan hoşlanır.

Gavin Phillips'dan Daha Fazla

Haber bültenimize abone ol

Teknoloji ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için haber bültenimize katılın!

Bir adım daha…!

Lütfen size az önce gönderdiğimiz e-postadaki e-posta adresinizi onaylayın.

.