A Microsoft explicou recentemente com mais detalhes como ocorreu o ataque cibernético da SolarWinds, detalhando a segunda fase do ataque e os tipos de malware em uso.
Para um ataque com tantos alvos de alto perfil quanto SolarWinds, ainda há muitas perguntas que precisam ser respondidas. O relatório da Microsoft revela um tesouro de novas informações sobre o ataque, cobrindo o período após os atacantes derrubarem a porta dos fundos do Sunburst.
Microsoft detalha a segunda fase do ataque cibernético SolarWinds
O Segurança Microsoft blog fornece uma olhada em "O link que faltava", o período desde quando a porta dos fundos do Sunburst (conhecido como Solorigate by Microsoft) foi instalado na SolarWinds para a implantação de vários tipos de malware dentro da vítima redes.
Como já sabemos, SolarWinds é um dos "ataques de intrusão mais sofisticados e prolongados da década", e que o atacantes "são operadores de campanha habilidosos que planejaram e executaram cuidadosamente o ataque, permanecendo esquivos enquanto mantêm persistência."
O blog de Segurança da Microsoft confirma que o backdoor original do Sunburst foi compilado em fevereiro de 2020 e distribuído em março. Em seguida, os invasores removeram o backdoor Sunburst do ambiente de construção SolarWinds em junho de 2020. Você pode acompanhar a linha do tempo completa na imagem a seguir.
A Microsoft acredita que os invasores gastaram tempo preparando e distribuindo implantes Cobalt Strike personalizados e exclusivos e infra-estrutura de comando e controle, e a "atividade prática real do teclado provavelmente começou já em maio."
A remoção da função backdoor do SolarWinds significa que os invasores deixaram de exigir o acesso backdoor através do fornecedor para direcionar o acesso às redes da vítima. Remover a porta dos fundos do ambiente de construção foi um passo para disfarçar qualquer atividade maliciosa.
Relacionado: Microsoft revela alvo real de ataque cibernético da SolarWinds
Entrar na rede da vítima não era o único objetivo do ataque.
A partir daí, o atacante não mediu esforços para evitar a detecção e distanciar cada parte do ataque. Parte do raciocínio por trás disso era que, mesmo que o implante de malware Cobalt Strike fosse descoberto e removido, a porta dos fundos do SolarWinds ainda estaria acessível.
O processo de anti-detecção envolveu:
- Implantar implantes Cobalt Strike exclusivos em cada máquina
- Sempre desabilitando os serviços de segurança nas máquinas antes de prosseguir com o movimento lateral da rede
- Limpar registros e carimbos de data / hora para apagar footprints e até mesmo ir tão longe a ponto de desabilitar o registro por um período para concluir uma tarefa antes de ligá-lo novamente.
- Combinar todos os nomes de arquivo e nomes de pasta para ajudar a camuflar pacotes maliciosos no sistema da vítima
- Usar regras especiais de firewall para ofuscar pacotes de saída de processos maliciosos e, em seguida, remover as regras quando terminar
O blog de Segurança da Microsoft explora a variedade de técnicas com muito mais detalhes, com uma seção interessante que examina alguns dos métodos anti-detecção verdadeiramente novos que os invasores usaram.
SolarWinds é um dos hacks mais sofisticados já vistos
Há poucas dúvidas nas mentes das equipes de resposta e segurança da Microsoft de que o SolarWinds é um dos ataques mais avançados de todos os tempos.
A combinação de uma cadeia de ataque complexa e uma operação prolongada significa que as soluções defensivas precisam ter visibilidade entre domínios da atividade do invasor e fornece meses de dados históricos com ferramentas de caça poderosas para investigar desde o início como necessário.
Ainda pode haver mais vítimas por vir também. Recentemente, relatamos que os especialistas em antimalware Malwarebytes também foram alvos do ataque cibernético, embora os invasores tenham usado um método diferente de entrada para obter acesso à sua rede.
Relacionado: Malwarebytes última vítima do ataque cibernético SolarWinds
Dado o escopo entre a percepção inicial de que um ataque cibernético tão enorme havia ocorrido e a variedade de alvos e vítimas, ainda poderia haver mais grandes empresas de tecnologia para avançar.
A Microsoft lançou uma série de patches com o objetivo de reduzir o risco de SolarWinds e os tipos de malware associados em seu Atualização de janeiro de 2021, terça-feira. Os patches, que já foram lançados, atenuam uma vulnerabilidade de dia zero que a Microsoft acredita estar ligada ao ataque cibernético da SolarWinds e que estava sob exploração ativa.
Não consegue arrombar a porta da frente? Em vez disso, ataque a rede da cadeia de suprimentos. Veja como esses hacks funcionam.
- Segurança
- Notícias de tecnologia
- Microsoft
- Malware
- Porta dos fundos
Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme seu endereço de e-mail no e-mail que acabamos de enviar.