Microsoft a récemment expliqué plus en détail comment la cyberattaque SolarWinds a eu lieu, détaillant la deuxième phase de l'attaque et les types de logiciels malveillants utilisés.

Pour une attaque avec autant de cibles de haut niveau que SolarWinds, il reste encore de nombreuses questions auxquelles il faut répondre. Le rapport de Microsoft révèle une mine de nouvelles informations sur l'attaque, couvrant la période après que les attaquants ont laissé tomber la porte dérobée Sunburst.

Microsoft détaille la deuxième phase de la cyberattaque SolarWinds

Le Sécurité Microsoft Le blog propose un aperçu du «chaînon manquant», la période à partir de laquelle la porte dérobée Sunburst (appelée Solorigate de Microsoft) a été installé chez SolarWinds pour l'implantation de divers types de logiciels malveillants dans le réseaux.

Comme nous le savons déjà, SolarWinds est l’une des «attaques d’intrusion les plus sophistiquées et les plus prolongées de la décennie», et que le les attaquants "sont des opérateurs de campagne qualifiés qui ont soigneusement planifié et exécuté l'attaque, restant insaisissables tout en maintenant persistance."

instagram viewer

Le blog Microsoft Security confirme que la porte dérobée Sunburst originale a été compilée en février 2020 et distribuée en mars. Ensuite, les attaquants ont supprimé la porte dérobée Sunburst de l'environnement de construction SolarWinds en juin 2020. Vous pouvez suivre la chronologie complète dans l'image suivante.

Microsoft pense que les attaquants ont ensuite passé du temps à préparer et à distribuer des implants Cobalt Strike personnalisés et uniques et l'infrastructure de commande et de contrôle, et la "véritable activité pratique du clavier a très probablement commencé dès le mois de mai".

La suppression de la fonction de porte dérobée de SolarWinds signifie que les attaquants sont passés de l'exigence d'un accès par porte dérobée via le fournisseur à un accès direct aux réseaux de la victime. La suppression de la porte dérobée de l'environnement de construction était une étape vers le déguisement de toute activité malveillante.

En rapport: Microsoft révèle la cible réelle de la cyberattaque SolarWinds

Microsoft révèle la cible réelle de la cyberattaque SolarWinds

Entrer dans le réseau de la victime n'était pas le seul objectif de l'attaque.

À partir de là, l'attaquant s'est donné beaucoup de mal pour éviter la détection et éloigner chaque partie de l'attaque. Une partie du raisonnement derrière cela était que même si l'implant du malware Cobalt Strike était découvert et supprimé, la porte dérobée de SolarWinds était toujours accessible.

Le processus anti-détection impliquait:

  • Déploiement d'implants uniques Cobalt Strike sur chaque machine
  • Toujours désactiver les services de sécurité sur les machines avant de procéder au mouvement latéral du réseau
  • Effacer les journaux et les horodatages pour effacer les empreintes, et même aller jusqu'à désactiver la journalisation pendant une période pour terminer une tâche avant de la réactiver.
  • Faire correspondre tous les noms de fichiers et de dossiers pour aider à camoufler les paquets malveillants sur le système de la victime
  • Utilisation de règles de pare-feu spéciales pour masquer les paquets sortants pour les processus malveillants, puis suppression des règles lorsque vous avez terminé

Le blog Microsoft Security explore la gamme des techniques de manière beaucoup plus détaillée, avec une section intéressante examinant certaines des méthodes anti-détection vraiment novatrices utilisées par les attaquants.

SolarWinds est l'un des hackers les plus sophistiqués jamais vus

Il ne fait aucun doute dans l'esprit des équipes de réponse et de sécurité de Microsoft que SolarWinds est l'une des attaques les plus avancées à ce jour.

La combinaison d'une chaîne d'attaque complexe et d'une opération prolongée signifie que les solutions défensives doivent avoir des visibilité inter-domaines sur l'activité des attaquants et fournir des mois de données historiques avec de puissants outils de chasse pour enquêter aussi loin le cas échéant.

Il pourrait y avoir encore plus de victimes à venir, aussi. Nous avons récemment signalé que les spécialistes de l'antimalware Malwarebytes ont également été ciblés dans la cyberattaque, bien que les attaquants aient utilisé une méthode d'entrée différente pour accéder à son réseau.

En rapport: Malwarebytes Dernière victime de la cyberattaque SolarWinds

Compte tenu de l'écart entre la prise de conscience initiale qu'une telle cyberattaque avait eu lieu et l'éventail des cibles et des victimes, il pourrait encore y avoir plus de grandes entreprises technologiques à avancer.

Microsoft a publié une série de correctifs visant à réduire le risque de SolarWinds et des types de logiciels malveillants associés dans son Patch de janvier 2021 mardi. Les correctifs, qui ont déjà été mis en ligne, atténuent une vulnérabilité zero-day qui, selon Microsoft, serait liée à la cyberattaque de SolarWinds et qui était activement exploitée dans la nature.

E-mail
Qu'est-ce qu'un piratage de la chaîne d'approvisionnement et comment rester en sécurité?

Vous ne pouvez pas franchir la porte d'entrée? Attaquez plutôt le réseau de la chaîne d'approvisionnement. Voici comment fonctionnent ces hacks.

Rubriques connexes
  • Sécurité
  • Actualités techniques
  • Microsoft
  • Malware
  • Porte arrière
A propos de l'auteur
Gavin Phillips (709 Articles publiés)

Gavin est l'éditeur junior pour Windows and Technology Explained, un contributeur régulier du podcast Really Useful, et était l'éditeur du site soeur de MakeUseOf axé sur la cryptographie, Blocks Decoded. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en rédaction professionnelle. Il aime beaucoup de thé, de jeux de société et de football.

Plus de Gavin Phillips

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!

Un pas de plus…!

Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.

.