Microsoft hat kürzlich ausführlicher erklärt, wie der SolarWinds-Cyberangriff stattgefunden hat, und dabei die zweite Phase des Angriffs und die verwendeten Malware-Typen detailliert beschrieben.

Für einen Angriff mit so vielen hochkarätigen Zielen wie SolarWinds müssen noch viele Fragen beantwortet werden. Der Bericht von Microsoft enthüllt eine Fülle neuer Informationen über den Angriff, die den Zeitraum abdecken, in dem die Angreifer die Sunburst-Hintertür fallen ließen.

Microsoft Details Zweite Phase des SolarWinds-Cyberangriffs

Das Microsoft-Sicherheit Blog bietet einen Blick in "Das fehlende Glied", den Zeitraum ab dem Zeitpunkt der Sunburst-Hintertür (bezeichnet als Solorigate von Microsoft) wurde bei SolarWinds installiert, um verschiedene Malware-Typen in die Opfer zu implantieren Netzwerke.

Wie wir bereits wissen, ist SolarWinds einer der "raffiniertesten und langwierigsten Intrusion Attacken des Jahrzehnts" Angreifer "sind erfahrene Kampagnenbetreiber, die den Angriff sorgfältig geplant und ausgeführt haben und bei der Aufrechterhaltung schwer fassbar bleiben Beharrlichkeit."

Der Microsoft Security-Blog bestätigt, dass die ursprüngliche Sunburst-Backdoor im Februar 2020 kompiliert und im März verteilt wurde. Anschließend entfernten die Angreifer im Juni 2020 die Sunburst-Hintertür aus der SolarWinds-Build-Umgebung. Sie können der vollständigen Zeitleiste im folgenden Bild folgen.

Microsoft glaubt, dass die Angreifer dann Zeit damit verbracht haben, benutzerdefinierte und einzigartige Cobalt Strike-Implantate vorzubereiten und zu vertreiben und die Kommando- und Kontrollinfrastruktur, und die "echte Hands-on-Keyboard-Aktivität begann höchstwahrscheinlich bereits im Mai".

Das Entfernen der Backdoor-Funktion aus SolarWinds bedeutet, dass die Angreifer von der Anforderung eines Backdoor-Zugriffs durch den Anbieter zum direkten Zugriff auf die Netzwerke des Opfers übergegangen sind. Das Entfernen der Hintertür aus der Build-Umgebung war ein Schritt, um böswillige Aktivitäten zu verschleiern.

Verbunden: Microsoft enthüllt das tatsächliche Ziel des SolarWinds-Cyberangriffs

Microsoft enthüllt das tatsächliche Ziel des SolarWinds-Cyberangriffs

Der Zugang zum Netzwerk des Opfers war nicht das einzige Ziel des Angriffs.

Von dort aus unternahm der Angreifer große Anstrengungen, um zu vermeiden, dass jeder Teil des Angriffs entdeckt und entfernt wurde. Ein Grund dafür war, dass die SolarWinds-Hintertür auch dann zugänglich war, wenn das Cobalt Strike-Malware-Implantat entdeckt und entfernt wurde.

Der Anti-Erkennungsprozess umfasste:

  • Einsatz einzigartiger Cobalt Strike-Implantate auf jeder Maschine
  • Deaktivieren Sie immer die Sicherheitsdienste auf Computern, bevor Sie mit der seitlichen Netzwerkbewegung fortfahren
  • Löschen von Protokollen und Zeitstempeln, um Fußabdrücke zu löschen, und sogar Deaktivieren der Protokollierung für einen bestimmten Zeitraum, um eine Aufgabe abzuschließen, bevor Sie sie wieder einschalten.
  • Abgleichen aller Dateinamen und Ordnernamen, um schädliche Pakete auf dem System des Opfers zu tarnen
  • Verwenden Sie spezielle Firewall-Regeln, um ausgehende Pakete für böswillige Prozesse zu verschleiern, und entfernen Sie die Regeln, wenn Sie fertig sind

Der Microsoft Security-Blog untersucht die Bandbreite der Techniken ausführlicher. In einem interessanten Abschnitt werden einige der wirklich neuartigen Anti-Erkennungsmethoden vorgestellt, die die Angreifer verwendet haben.

SolarWinds ist einer der anspruchsvollsten Hacks, die je gesehen wurden

In den Köpfen der Reaktions- und Sicherheitsteams von Microsoft besteht kaum ein Zweifel daran, dass SolarWinds einer der fortschrittlichsten Angriffe aller Zeiten ist.

Die Kombination einer komplexen Angriffskette und einer langwierigen Operation bedeutet, dass Verteidigungslösungen umfassend sein müssen Domänenübergreifende Sichtbarkeit der Angreiferaktivität und Bereitstellung monatelanger historischer Daten mit leistungsstarken Jagdwerkzeugen, die bereits in der Vergangenheit untersucht werden können wie nötig.

Es könnten noch weitere Opfer kommen. Wir haben kürzlich berichtet, dass Malwarebytes, ein Antimalwarespezialist, ebenfalls in den Cyberangriff verwickelt war, obwohl die Angreifer eine andere Eingabemethode verwendeten, um Zugriff auf das Netzwerk zu erhalten.

Verbunden: Malwarebytes jüngstes Opfer eines SolarWinds-Cyberangriffs

Angesichts des Umfangs zwischen der anfänglichen Erkenntnis, dass ein solch enormer Cyberangriff stattgefunden hat, und der Bandbreite an Zielen und Opfern könnten noch weitere große Technologieunternehmen voranschreiten.

Microsoft hat eine Reihe von Patches veröffentlicht, mit denen das Risiko von SolarWinds und den damit verbundenen Malware-Typen verringert werden soll Januar 2021 Patch Dienstag. Die Patches, die bereits live geschaltet wurden, verringern eine Zero-Day-Sicherheitsanfälligkeit, von der Microsoft glaubt, dass sie mit dem Cyberangriff von SolarWinds in Verbindung steht und die in freier Wildbahn aktiv ausgenutzt wurde.

Email
Was ist ein Supply Chain Hack und wie können Sie sicher sein?

Kannst du die Haustür nicht durchbrechen? Greife stattdessen das Supply-Chain-Netzwerk an. So funktionieren diese Hacks.

Verwandte Themen
  • Sicherheit
  • Tech News
  • Microsoft
  • Malware
  • Hintertür
Über den Autor
Gavin Phillips (709 Artikel veröffentlicht)

Gavin ist der Junior Editor für Windows and Technology Explained, der regelmäßig Beiträge zum Really Useful Podcast verfasst, und war Editor für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee, Brettspiele und Fußball.

Mehr von Gavin Phillips

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Noch ein Schritt…!

Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.

.