В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

21 января 2021 года

Wikinews-logo-ru.svg

ИБ-специалисты из компании Microsoft поделились [1] подробностями о том, как хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний.

Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).

Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;

Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;

Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;

Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);

Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;

Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.


 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения