Processo da segunda fase do SolarWinds Cyberattack revelado pela Microsoft
A Microsoft explicou recentemente com mais detalhes como ocorreu o ataque cibernético da SolarWinds, detalhando a segunda fase do ataque e os tipos de malware em uso.
Para um ataque com tantos alvos de alto perfil quanto SolarWinds, ainda há muitas perguntas que precisam ser respondidas. O relatório da Microsoft revela um tesouro de novas informações sobre o ataque, cobrindo o período após os atacantes derrubarem a porta dos fundos do Sunburst.
Microsoft detalha a segunda fase do ataque cibernético SolarWinds
O blog de Segurança da Microsoft fornece uma olhada em "O link que faltava", o período de quando o backdoor Sunburst (conhecido como Solorigate pela Microsoft) foi instalado no SolarWinds até a implantação de vários tipos de malware nas redes da vítima.
Como já sabemos, SolarWinds é um dos "ataques de intrusão mais sofisticados e prolongados da década" e que os invasores "são operadores de campanha habilidosos que planejaram e executaram cuidadosamente o ataque, permanecendo esquivos enquanto mantêm a persistência."
O blog de Segurança da Microsoft confirma que o backdoor original do Sunburst foi compilado em fevereiro de 2020 e distribuído em março. Em seguida, os invasores removeram o backdoor Sunburst do ambiente de compilação SolarWinds em junho de 2020. Você pode acompanhar a linha do tempo completa na imagem a seguir.
A Microsoft acredita que os invasores gastaram tempo preparando e distribuindo implantes Cobalt Strike personalizados e exclusivos e infra-estrutura de comando e controle, e a "atividade prática real do teclado provavelmente começou em maio".
A remoção da função backdoor do SolarWinds significa que os invasores deixaram de exigir o acesso backdoor através do fornecedor para direcionar o acesso às redes da vítima. Remover a porta dos fundos do ambiente de construção foi um passo para disfarçar qualquer atividade maliciosa.
A partir daí, o atacante não mediu esforços para evitar a detecção e distanciar cada parte do ataque. Parte do raciocínio por trás disso era que, mesmo que o implante de malware Cobalt Strike fosse descoberto e removido, a porta dos fundos do SolarWinds ainda estaria acessível.
O processo de anti-detecção envolveu:
- Implantando implantes Cobalt Strike exclusivos em cada máquina
- Sempre desabilitando os serviços de segurança nas máquinas antes de prosseguir com o movimento lateral da rede
- Limpar registros e carimbos de data / hora para apagar footprints e até mesmo ir ao ponto de desabilitar o registro por um período para concluir uma tarefa antes de ligá-lo novamente.
- Combinar todos os nomes de arquivo e nomes de pasta para ajudar a camuflar pacotes maliciosos no sistema da vítima
- Usar regras especiais de firewall para ofuscar pacotes de saída para processos maliciosos e, em seguida, remover as regras quando terminar
O blog de Segurança da Microsoft explora a variedade de técnicas com muito mais detalhes, com uma seção interessante que examina alguns dos métodos anti-detecção verdadeiramente novos que os invasores usaram.
SolarWinds é um dos hacks mais sofisticados já vistos
Há poucas dúvidas nas mentes das equipes de resposta e segurança da Microsoft de que o SolarWinds é um dos ataques mais avançados de todos os tempos.
A combinação de uma cadeia de ataque complexa e uma operação prolongada significa que as soluções defensivas precisam ter visibilidade abrangente entre domínios da atividade do invasor e fornecer meses de dados históricos com ferramentas de caça poderosas para investigar o quanto antes.
Ainda pode haver mais vítimas por vir também. Recentemente, relatamos que os especialistas em antimalware Malwarebytes também foram alvos do ataque cibernético, embora os invasores usassem um método diferente de entrada para obter acesso à rede.
Dado o escopo entre a percepção inicial de que um ataque cibernético tão enorme havia ocorrido e a variedade de alvos e vítimas, ainda poderia haver mais grandes empresas de tecnologia para avançar.
A Microsoft lançou uma série de patches com o objetivo de reduzir o risco de SolarWinds e os tipos de malware associados em seu Patch Tuesday de janeiro de 2021 . Os patches, que já foram lançados, atenuam uma vulnerabilidade de dia zero que a Microsoft acredita estar relacionada ao ataque cibernético da SolarWinds e que estava sob exploração ativa.