Microsoft hôm thứ Tư đã chia sẻ chi tiết cụ thể hơn về các chiến thuật, kỹ thuật và quy trình (TTP) được những kẻ tấn công đứng sau vụ tấn công SolarWinds áp dụng để nằm trong tầm ngắm và tránh bị phát hiện, khi các công ty an ninh mạng nỗ lực hướng tới việc có được “bức tranh rõ ràng hơn” về một trong những các cuộc tấn công tinh vi trong lịch sử gần đây.
Công ty cho biết những kẻ tấn công đã cố gắng đảm bảo rằng cửa hậu ban đầu (OpSec) là “những người điều hành khéo léo và có phương pháp tuân theo các phương pháp hay nhất về bảo mật hoạt động (Sunburst hay còn gọi là Solorigate) và cấy ghép sau thỏa hiệp (Giọt nước mắt và Raindrop) được tách biệt nhiều nhất có thể để cản trở nỗ lực phát hiện hoạt động độc hại của chúng.
“Những kẻ tấn công đằng sau Solorigate là những người điều hành chiến dịch có tay nghề cao, những người đã lên kế hoạch và thực hiện cuộc tấn công một cách cẩn thận. nói.
Trong khi danh tính chính xác của nhóm được theo dõi là StellarParticle (CrowdStrike), UNC2452 (FireEye), Bão mặt trời (Palo Alto Unit 42), và Quầng tối (Tính linh hoạt) vẫn chưa được biết rõ, chính phủ Mỹ vào đầu tháng này đã chính thức gắn chiến dịch gián điệp với một nhóm có khả năng là người gốc Nga.
Một loạt các chiến thuật để không bị phát hiện
Của Microsoft mốc thời gian của các cuộc tấn công cho thấy backdoor Sunburst DLL đầy đủ chức năng đã được biên dịch và triển khai trên nền tảng Orion của SolarWinds vào ngày 20 tháng 2, sau đó nó được phân phối dưới dạng các bản cập nhật giả mạo vào cuối tháng 3.
Khoảng thời gian trinh sát kéo dài gần hai tháng để xác định các mục tiêu của nó – điều đòi hỏi sự kiên trì lén lút để không bị phát hiện và thu thập thông tin có giá trị – cuối cùng đã mở đường cho việc triển khai cấy ghép Cobalt Strike trên các mạng nạn nhân được chọn vào tháng 5 và loại bỏ Sunburst từ SolarWinds xây dựng môi trường vào ngày 4 tháng 6.
Nhưng câu trả lời về cách thức và thời điểm quá trình chuyển đổi từ Sunburst sang Raindrop xảy ra ít mang lại manh mối chắc chắn, ngay cả khi có vẻ như những kẻ tấn công đã cố tình tách việc thực thi của trình tải Cobalt Strike khỏi quy trình SolarWinds như một biện pháp OpSec.
Ý tưởng là trong trường hợp việc cấy ghép Cobalt Strike được phát hiện trên các mạng mục tiêu, nó sẽ không tiết lộ tệp nhị phân SolarWinds bị xâm phạm và cuộc tấn công chuỗi cung ứng dẫn đến việc triển khai nó ngay từ đầu.
Các phát hiện cũng làm rõ rằng, trong khi các tin tặc dựa vào một loạt các vectơ tấn công, phần mềm SolarWinds bị trojanized đã tạo thành cốt lõi của hoạt động gián điệp:
- Tránh xa các chỉ báo được chia sẻ cho từng máy chủ bị xâm phạm bằng cách triển khai cấy ghép DLL Cobalt Strike tùy chỉnh trên mỗi hệ thống
- Ngụy trang các công cụ và mã nhị phân độc hại để bắt chước các tệp và chương trình hiện có trên máy bị xâm phạm
- Tắt tính năng ghi sự kiện bằng AUDITPOL trước khi thao tác trên bàn phím và bật lại sau khi hoàn tất
- Tạo các quy tắc tường lửa đặc biệt để giảm thiểu các gói gửi đi cho một số giao thức trước khi chạy các hoạt động liệt kê mạng ồn ào mà sau đó đã bị loại bỏ sau cuộc khảo sát mạng
- Chỉ thực hiện các hoạt động di chuyển bên sau khi tắt dịch vụ bảo mật trên các máy chủ được nhắm mục tiêu
- Bị cáo buộc sử dụng thời gian để thay đổi dấu thời gian của đồ tạo tác và tận dụng các quy trình và công cụ xóa để ngăn chặn việc phát hiện ra các mô cấy DLL độc hại
Áp dụng Tinh thần Không Tin cậy
“Cuộc tấn công này đồng thời tinh vi và bình thường”, Microsoft cho biết. “Tác nhân đã thể hiện sự tinh vi trong phạm vi rộng lớn của các chiến thuật được sử dụng để thâm nhập, mở rộng và tồn tại trong cơ sở hạ tầng bị ảnh hưởng, nhưng nhiều chiến thuật, kỹ thuật và quy trình (TTP) là bình thường riêng lẻ.”
Để bảo vệ khỏi các cuộc tấn công như vậy trong tương lai, công ty khuyến nghị các tổ chức nên áp dụng “tâm lý không tin tưởng“để đạt được quyền truy cập ít đặc quyền nhất và giảm thiểu rủi ro bằng cách cho phép xác thực đa yếu tố.
Alex Weinert, giám đốc bảo mật danh tính của Microsoft, cho biết: “Với Solorigate, những kẻ tấn công đã lợi dụng việc phân công vai trò rộng rãi, các quyền vượt quá yêu cầu vai trò và trong một số trường hợp, các tài khoản và ứng dụng bị bỏ rơi mà lẽ ra không có quyền gì cả”.
