微软安全专家分享太阳风供应链攻击中黑客使用的战术和逃避策略
太阳风供应链攻击让美国政府机构和企业深感担忧,以前估计没人会猜到如此多的政企机构会被黑客大规模渗透。
甚至是微软这样的科技巨头竟然也遭到渗透,尽管已经完成前期调查不过微软安全专家还在继续进行详细的分析。
日前微软安全团队专家发布博客分享此次攻击事件中黑客使用的战术和逃避策略,用于应对未来的类似的攻击等。
当然事实证明如果黑客行为足够仔细再配合成熟的战术,确实有机会绕过顶级科技公司的检测最终完成渗透目的。
微软安全专家表示策划太阳风供应链攻击的黑客展示一系列策略、操作安全性和反追查行为以降低被发现的概率。
安全专家表示负责第二阶段攻击的操作者是熟练且有条理的黑客,这些黑客遵守操作安全最佳实践减少操作痕迹。
在 Microsoft 365 Defender 丰富的遥测技术下安全专家得以从黑客使用的战术和技术中观察到值得关注的技术。
而分享这些技术则有助于帮助安全从业者和防御者更好地响应此类安全事件,有兴趣的网友们可以继续往下阅读。
逃避策略主要是用来规避反病毒软件和安全专家调查用的,即将自己的操作痕迹隐藏避免被日常检查时发现异常。
在此次攻击事件中黑客使用多种逃避策略可以说是比较完善的,微软安全专家将部分重点逃避策略给大家介绍下。
1.为每台计算机上部署自定义的Cobalt Strike DLL植入程序,有条不紊地避免每个受感染的主机共享相同的指标。
2.通过重命名工具和二进制文件匹配受感染主机上的文件,这样可以进行伪装并混入环境避免被受害者发现异常。
3.在动手操作前黑客先使用AUDITPOL禁用事件日志记录,禁用后进行操作就不会被记录,操作完再启用此功能。
4.在运行复杂的网络枚举活动前创建防火墙规则以最小化某些协议的传出数据包,完成操作后再将这些规则删除。
5.首先在目标主机上禁用安全服务例如已经安装的各类安全软件,禁用后再仔细计划如何在内网里进行横向传播。
6.使用某些工具修改工件的时间戳即篡改文件时间避免被首先检测,同时利用擦除工具清理文件痕迹避免被发现。
太阳风软件公司披露的信息是黑客早在2019年9月就已经完成渗透,随后开始潜伏伺机篡改太阳风软件部分组件。
相关后门程序则是在2020年2月开始进行部署,然后在3月开始向目标机构的内网环境中部署 ,但此时并未攻击。
在此阶段后黑客耐心等待并定制开发Cobalt Strike植入物选择感兴趣的目标,直到5月初时黑客才开始发动攻击。
6月份时黑客从太阳风软件里将后门程序删除 ,按安全专家猜测这意味着在这个时候黑客已经感染足够多的目标。
接下来黑客通过植入物开始进行更多攻击操作,这个植入物能够让黑客远程控制键盘然后挑选目标进行更多操作。
最终在去年年底时美国安全公司火眼的雇员发现某些日志文件缺少片段,随后进行调查发现公司已遭到黑客渗透。
微软安全团队结合各大安全公司的分析后完成整体的溯源工作,当然还有些内容在完成彻底调查前微软不会公布。