В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения

21 января 2021 года

25 февраля 2021: Взломщицу игр поймала полиция
25 февраля 2021: Власти Москвы планируют установить в метро мультимедийные экраны с камерами
25 февраля 2021: В Украине заблокировали 426 сайтов: российские издания, GitHub и ForkLog
25 февраля 2021: Хакеры из КНДР атаковали Pfizer для продажи подпольной вакцины от COVID-19
25 февраля 2021: DemHack 2: хакатон решений в области приватности и доступа к информации
25 февраля 2021: Для высокоопасной уязвимости в VMware vCenter опубликован PoC-эксплоит
25 февраля 2021: В Украине заблокировали Telegram-каналы, связанные со спецслужбами РФ
25 февраля 2021: Эксперты смогли определить, что набирает на клавиатуре собеседник в Zoom
25 февраля 2021: Операторы вымогателя Clop опубликовали чертеж военной радарной системы
25 февраля 2021: СНБО Украины предупредил о кибератаках на цепочку поставок
25 февраля 2021: В РФ могут ввести идентификацию пользователей по номерам телефонов
25 февраля 2021: Уязвимость в Twitter позволяет маркировать произвольные твиты как утечки
25 февраля 2021: Операторы ботнетов используют блокчейн биткойна для сокрытия своей активности
25 февраля 2021: APT32 годами атакует вьетнамских правозащитников с помощью шпионского ПО
25 февраля 2021: Правительство Москвы разработало защищенный мессенджер
24 февраля 2021: В Госдуме прогнозируют новые санкции из-за обвинений США России в кибератаках
24 февраля 2021: Google профинансирует работу по повышению безопасности ядра Linux
24 февраля 2021: Пандемия COVID-19 увеличила спрос на услуги доступа к сетям взломанных компаний

ИБ-специалисты из компании Microsoft поделились [1] подробностями о том, как хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний.

Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber Defense Operations Center (CDOC).

Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;

Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;

Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;

Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);

Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;

Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.

Источники[править]

Эта статья содержит материалы из статьи «В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии:В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения

	Имеете своё мнение на этот счёт?
Оставьте свой комментарий

	Поделитесь новостью с друзьями
Telegram Facebook Twitter ВКонтакте OK.RU LiveJournal

В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения

Источники[править]

Навигация

Поиск