В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения
21 января 2021 года
ИБ-специалисты из компании Microsoft поделились [1] подробностями о том, как хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний.
Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber Defense Operations Center (CDOC).
Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;
Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;
Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;
Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);
Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;
Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.
Источники[править]
Эта статья содержит материалы из статьи «В Microsoft рассказали, как атаковавшие SolarWinds хакеры уклонялись от обнаружения», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.