微软分析的细节太阳风袭击事件:
Microsoft和FireEye仅检测到日出或Solorigate公司12月的恶意软件,但Crowdstrike本月报道了另一个相关的恶意软件,Sunspot,部署于2019年9月,当时黑客侵入SolarWinds的内部网络。其他相关恶意软件包括泪滴阿卡雨滴.
细节位于Microsoft博客中:
我们已经发表了对Solorigate后门恶意软件(也称为SUNBURST公司FireEye),作为SolarWinds产品的一部分部署在网络上的受损DLL,允许攻击者后门访问受影响的设备。我们还详细介绍了手控键盘技术攻击者使用强大的第二级有效载荷在受损端点上进行攻击,该有效载荷是几种自定义钴击加载器之一,包括被称为TEARDROP公司由FireEye和名为雨滴赛门铁克。
复杂的Solorigate攻击链中缺少的一个环节是从Solorigate DLL后门切换到Cobalt Strike加载程序。我们的调查表明,攻击者想方设法确保这两个组件尽可能分开以躲避检测。此博客根据发生此过程的有限案例提供了有关此移交的详细信息。为了发现这些案例,我们使用了Microsoft 365 Defender强大的跨域光学系统,在一个完整的整合视图中查看整个攻击链。
这很重要,因为MalwareBytes穿透Office 365,而不是SolarWinds。新的估计是30%的太阳风受害者没有使用太阳风:
许多攻击通过以下方式获得了最初的立足点密码喷洒泄露目标组织的个人电子邮件帐户。一旦攻击者获得了最初的立足点,他们就利用各种复杂的权限提升和身份验证攻击来利用微软云服务中的漏洞。高级持久性威胁(APT)的另一个目标是安全公司CrowdStrike,该公司表示,攻击者试图利用与该公司合作的微软经销商的泄露帐户来读取其电子邮件,但未成功。
关于归因:本月早些时候,美国政府规定的这次袭击“很可能起源于俄罗斯”。这与当时的国务卿迈克·蓬佩奥(Mike Pompeo)的说法相呼应说12月华盛顿邮报的报告(均从十二月开始)。(《纽约时报》有重复的这是一篇很好的文章,也讨论了攻击的严重性。)更多证据来自代码取证链接它另一位俄罗斯威胁演员图拉。
最后,一个很长的ProPublica故事关于一项未使用的政府开发的技术,该技术可能早就受到了供应链攻击:
一体化系统要求软件供应商制定出组装将发送给客户的计算机代码的流程,并记录过程中每一步所做的工作。然后,它以电子方式验证没有黑客在步骤之间插入任何东西。在安装之前,预先安装的工具会自动运行最终检查,以确保客户收到的内容与软件供应商为交付而生成的最终产品相匹配,并确认其在运输过程中没有被篡改。
我不想在不了解更多信息的情况下夸大这种防御,但我喜欢验证软件构建过程的方法。
发布于2021年2月3日上午6:10•查看评论