2021 年 1 月 20 日,微軟發布了針對 SolarWinds 入侵事件的又一份深度調查報告,并且指出幕後攻擊者有着極其高超的黑客技巧和娴熟度。在去年的攻擊中,SolarWinds 因 Orion IT 管理軟件的封包服務器被惡意軟件感染,導緻包括微軟在内的數以萬計的客戶,在部署更新後受到了不同程度的影響。
Solorigate 攻擊的分步時間線(來自:Microsoft Security)
在這篇報告中,微軟主要深入探讨了攻擊者是如何逃避檢測、并通過企業内網進行靜默傳播的。
首先,在每台機器上的 Cobalt Strike 動态鍊接庫(DLL)植入都是唯一的,以避免惡意軟件自身被篩查到任何重複的痕迹。
其次,攻擊者重用了文件、文件夾、導出功能的名稱,輔以 C2 域名 / IP、HTTP 請求、時間戳、文件元數據、配置、以及運行子進程。
Solorigate 一二階段攻擊的過渡示意
如此極端的差異化,同樣出現在了不可執行的部分,比如 WMI 過濾查詢和持久性過濾器的名稱、用于 7-zip 壓縮包的文檔密碼、以及輸出日志文件的名稱。
想要對每台受感染的計算機執行如此細緻篩查,顯然是一項讓人難以置信的艱苦工作。但攻擊者就是通過這樣的手段,在很長一段時間内躲過了安全防護系統的檢測。
從 Solorigate 後門到 Cobalt Strike 攻擊的過渡示意
此外攻擊者不僅勤奮,還顯得相當具有耐心。比如為了避免被檢測到,它還會首先枚舉目标計算機上運行的遠程進程和服務。
接着通過編輯目标計算機的注冊表,以禁用特定安全服務進程的自動啟動。在切實的攻擊發起之前,惡意軟件會非常耐心地等待計算機重新啟動。
最後,微軟指出了 Solorigate 攻擊者的其它聰明之處,比如僅在工作時間段内對系統發起攻擊,因為此時發生的正常活動會掩蓋他們的真實目的。
結合複雜的攻擊鍊和曠日持久的操作,安全防護系統也必須在持續數月的時間裡、對攻擊者的跨域活動有着全面的了解,輔以曆史數據和強大的分析工具,才能盡早地對異常狀況展開調查。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
