Microsoft baru-baru ini menjelaskan secara lebih mendalam bagaimana serangan cyber SolarWinds terjadi, merinci fase kedua dari serangan tersebut dan jenis malware yang digunakan.

Untuk serangan dengan target profil tinggi sebanyak SolarWinds, masih banyak pertanyaan yang perlu dijawab. Laporan Microsoft mengungkapkan banyak informasi baru tentang serangan itu, yang mencakup periode setelah penyerang menjatuhkan backdoor Sunburst.

Microsoft Merinci Tahap Kedua Serangan CyberWinds Siber

Itu Keamanan Microsoft blog memberikan gambaran tentang "Tautan yang hilang", periode sejak backdoor Sunburst (disebut sebagai Solorigate oleh Microsoft) diinstal di SolarWinds untuk menanamkan berbagai jenis malware di dalam korban jaringan.

Seperti yang telah kita ketahui, SolarWinds adalah salah satu "serangan intrusi paling canggih dan berkepanjangan dekade ini," dan bahwa penyerang "adalah operator kampanye terampil yang dengan hati-hati merencanakan dan melaksanakan serangan, tetap sulit dipahami sambil mempertahankan kegigihan."

instagram viewer

Blog Keamanan Microsoft mengonfirmasi bahwa pintu belakang Sunburst asli dikompilasi pada Februari 2020 dan didistribusikan pada Maret. Kemudian, penyerang menghapus backdoor Sunburst dari lingkungan build SolarWinds pada Juni 2020. Anda dapat mengikuti garis waktu penuh pada gambar berikut.

Microsoft yakin para penyerang kemudian menghabiskan waktu untuk mempersiapkan dan mendistribusikan implan Cobalt Strike khusus dan unik dan infrastruktur perintah-dan-kontrol, dan "aktivitas keyboard langsung yang sebenarnya kemungkinan besar dimulai pada awal Mei."

Penghapusan fungsi pintu belakang dari SolarWinds berarti bahwa penyerang telah berpindah dari memerlukan akses pintu belakang melalui vendor ke akses langsung ke jaringan korban. Menghapus pintu belakang dari lingkungan build adalah langkah untuk menyamarkan aktivitas berbahaya apa pun.

Terkait: Microsoft Mengungkapkan Target Aktual dari SolarWinds Cyberattack

Microsoft Mengungkapkan Target Aktual dari SolarWinds Cyberattack

Masuk ke dalam jaringan korban bukanlah satu-satunya tujuan serangan itu.

Dari sana, penyerang berusaha keras untuk menghindari deteksi dan jarak setiap bagian serangan. Sebagian alasan di balik ini adalah bahwa meskipun implan malware Cobalt Strike ditemukan dan dihapus, backdoor SolarWinds masih dapat diakses.

Proses anti-deteksi melibatkan:

  • Menerapkan implan Cobalt Strike yang unik di setiap mesin
  • Selalu nonaktifkan layanan keamanan pada mesin sebelum melanjutkan dengan pergerakan jaringan lateral
  • Menghapus log dan stempel waktu untuk menghapus jejak kaki, dan bahkan menonaktifkan logging selama beberapa waktu untuk menyelesaikan tugas sebelum mengaktifkannya kembali.
  • Mencocokkan semua nama file dan nama folder untuk membantu menyamarkan paket jahat di sistem korban
  • Menggunakan aturan firewall khusus untuk mengaburkan paket keluar untuk proses berbahaya, lalu menghapus aturan tersebut setelah selesai

Blog Keamanan Microsoft mengeksplorasi berbagai teknik dengan lebih detail, dengan bagian yang menarik melihat beberapa metode anti-deteksi yang benar-benar baru yang digunakan penyerang.

SolarWinds Adalah Salah Satu Peretasan Paling Canggih Yang Pernah Dilihat

Ada sedikit keraguan di benak tim tanggapan dan keamanan Microsoft bahwa SolarWinds adalah salah satu serangan paling canggih yang pernah ada.

Kombinasi rantai serangan yang kompleks dan operasi yang berlarut-larut berarti solusi pertahanan harus komprehensif visibilitas lintas domain ke dalam aktivitas penyerang dan memberikan data historis berbulan-bulan dengan alat berburu yang canggih untuk diselidiki sejauh ini seperlunya.

Mungkin masih ada lebih banyak korban yang akan datang juga. Kami baru-baru ini melaporkan bahwa spesialis antimalware Malwarebytes juga menjadi sasaran serangan dunia maya, meskipun penyerang menggunakan metode masuk yang berbeda untuk mendapatkan akses ke jaringannya.

Terkait: Malwarebytes Korban Terbaru Serangan Siber SolarWinds

Mengingat ruang lingkup antara realisasi awal bahwa serangan dunia maya yang sangat besar telah terjadi dan kisaran target serta korban, mungkin masih ada lebih banyak perusahaan teknologi besar yang akan melangkah maju.

Microsoft mengeluarkan serangkaian tambalan yang bertujuan untuk mengurangi risiko SolarWinds dan jenis malware terkait di dalamnya Patch Januari 2021 Selasa. Tambalan, yang telah ditayangkan, mengurangi kerentanan zero-day yang diyakini Microsoft terkait dengan serangan siber SolarWinds dan berada di bawah eksploitasi aktif di alam liar.

Surel
Apa Itu Peretasan Rantai Pasokan dan Bagaimana Anda Bisa Tetap Aman?

Tidak bisa menerobos pintu depan? Serang jaringan rantai pasokan sebagai gantinya. Inilah cara kerja peretasan ini.

Topik-topik terkait
  • Keamanan
  • Berita Teknologi
  • Microsoft
  • Perangkat lunak perusak
  • Pintu belakang
Tentang Penulis
Gavin Phillips (709 Artikel Dipublikasikan)

Gavin adalah Editor Junior untuk Windows and Technology Explained, kontributor tetap untuk Really Useful Podcast, dan merupakan Editor untuk situs saudara MakeUseOf yang berfokus pada crypto, Blocks Decoded. Dia memiliki gelar BA (Hons) Menulis Kontemporer dengan Praktik Seni Digital yang dijarah dari perbukitan Devon, serta lebih dari satu dekade pengalaman menulis profesional. Dia menikmati teh, permainan papan, dan sepak bola dalam jumlah yang banyak.

Selebihnya Dari Gavin Phillips

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk mendapatkan tip teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Satu langkah lagi…!

Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan kepada Anda.

.