Бесплатно Экспресс-аудит сайта:

22.01.2021

В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения

ИБ-специалисты из компании Microsoft поделились подробностями о том, как хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний.

Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).

Как выяснили эксперты, атаковавшие SolarWinds хакеры продемонстрировали ряд тактик, оперативную безопасность и изощренное поведение, которые резко снизили способность взломанных организаций обнаружить взлом. Некоторые примеры тактики уклонения включают:
  • Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;

  • Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;

  • Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;

  • Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);

  • Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;

  • Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.