Microsoft heeft onlangs dieper uitgelegd hoe de SolarWinds-cyberaanval plaatsvond, waarbij de tweede fase van de aanval en de gebruikte malwaretypen werden beschreven.

Voor een aanval met evenveel spraakmakende doelen als SolarWinds, zijn er nog veel vragen die beantwoord moeten worden. Het rapport van Microsoft onthult een schat aan nieuwe informatie over de aanval, die betrekking heeft op de periode nadat de aanvallers de Sunburst-achterdeur hadden laten vallen.

Microsoft Details Tweede fase van SolarWinds Cyberattack

De Microsoft-beveiliging blog biedt een kijkje in "The missing link", de periode vanaf het moment dat de Sunburst-achterdeur (ook wel Solorigate van Microsoft) is geïnstalleerd bij SolarWinds om verschillende soorten malware in het slachtoffer te implanteren netwerken.

Zoals we al weten, is SolarWinds een van de "meest geavanceerde en langdurige indringingsaanvallen van het decennium", en dat de aanvallers "zijn bekwame campagnelexploitanten die de aanval zorgvuldig hebben gepland en uitgevoerd, terwijl ze ongrijpbaar bleven terwijl ze handhaafden volharding. "

instagram viewer

De Microsoft Security-blog bevestigt dat de originele Sunburst-achterdeur in februari 2020 is samengesteld en in maart is verspreid. Vervolgens verwijderden de aanvallers in juni 2020 de Sunburst-achterdeur uit de SolarWinds-bouwomgeving. U kunt de volledige tijdlijn volgen in de volgende afbeelding.

Microsoft gelooft dat de aanvallers vervolgens tijd hebben besteed aan het voorbereiden en distribueren van aangepaste en unieke Cobalt Strike-implantaten en command-and-control-infrastructuur, en de "echte hands-on-keyboard-activiteit begon waarschijnlijk al in mei."

Het verwijderen van de backdoor-functie van SolarWinds betekent dat de aanvallers zijn overgestapt van het eisen van backdoor-toegang via de leverancier om rechtstreeks toegang te krijgen tot de netwerken van het slachtoffer. Het verwijderen van de achterdeur uit de build-omgeving was een stap om kwaadwillende activiteiten te verhullen.

Verwant: Microsoft onthult het werkelijke doelwit van de SolarWinds-cyberaanval

Microsoft onthult het werkelijke doelwit van de SolarWinds-cyberaanval

Binnenkomen in het netwerk van het slachtoffer was niet het enige doel van de aanval.

Van daaruit ging de aanvaller tot het uiterste om detectie en afstand van elk deel van de aanval te vermijden. Een deel van de redenering hierachter was dat zelfs als het Cobalt Strike-malware-implantaat werd ontdekt en verwijderd, de SolarWinds-achterdeur nog steeds toegankelijk was.

Het betrokken anti-detectieproces:

  • Unieke Cobalt Strike-implantaten op elke machine plaatsen
  • Schakel altijd beveiligingsservices op machines uit voordat u doorgaat met laterale netwerkverplaatsing
  • Logboeken en tijdstempels wissen om voetafdrukken te wissen, en zelfs zo ver gaan dat logboekregistratie gedurende een bepaalde periode wordt uitgeschakeld om een ​​taak te voltooien voordat deze weer wordt ingeschakeld.
  • Het matchen van alle bestandsnamen en mapnamen om kwaadaardige pakketten op het systeem van het slachtoffer te camoufleren
  • Speciale firewallregels gebruiken om uitgaande pakketten te verdoezelen voor kwaadaardige processen en de regels vervolgens verwijderen wanneer u klaar bent

In de Microsoft Security-blog wordt de reeks technieken veel gedetailleerder verkend, met een interessante sectie die enkele van de werkelijk nieuwe anti-detectiemethoden behandelt die de aanvallers gebruikten.

SolarWinds is een van de meest geavanceerde hacks ooit

De reactie- en beveiligingsteams van Microsoft twijfelen er niet aan dat SolarWinds een van de meest geavanceerde aanvallen ooit is.

De combinatie van een complexe aanvalsketen en een langdurige operatie betekent dat defensieve oplossingen alomvattend moeten zijn domeinoverschrijdend inzicht in de activiteit van aanvallers en biedt maanden aan historische gegevens met krachtige jachttools om zo ver terug te onderzoeken als nodig.

Er zouden ook nog meer slachtoffers kunnen komen. We hebben onlangs gemeld dat antimalware-specialisten Malwarebytes ook het doelwit waren van de cyberaanval, hoewel de aanvallers een andere toegangsmethode gebruikten om toegang te krijgen tot het netwerk.

Verwant: Malwarebytes nieuwste slachtoffer van SolarWinds Cyberattack

Gezien de reikwijdte tussen het aanvankelijke besef dat er zo'n enorme cyberaanval had plaatsgevonden en het scala aan doelen en slachtoffers, kunnen er nog meer grote technologiebedrijven zijn om naar voren te komen.

Microsoft heeft een reeks patches uitgegeven om het risico van SolarWinds en de bijbehorende malwaretypen in zijn Januari 2021 Patch dinsdag. De patches, die al live zijn gegaan, verminderen een zero-day-kwetsbaarheid die volgens Microsoft verband houdt met de SolarWinds-cyberaanval en die actief werd geëxploiteerd in het wild.

E-mail
Wat is een supply chain-hack en hoe blijft u veilig?

Kunt u niet door de voordeur breken? Val in plaats daarvan het supply chain-netwerk aan. Dit is hoe deze hacks werken.

Gerelateerde onderwerpen
  • Veiligheid
  • Tech Nieuws
  • Microsoft
  • Malware
  • Achterdeur
Over de auteur
Gavin Phillips (709 artikelen gepubliceerd)

Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.

Meer van Gavin Phillips

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.