A Microsoft começou a publicar informações sobre as táticas, técnicas e procedimentos observados no ataque Solorigate, que atingiu a cadeia de atualização de software da SolarWinds e por causa disso contaminou ao menos 18 mil instalações.
Em um relatório publicado ontem, a empresa informa que seus especialistas observaram algumas técnicas que valem a pena divulgar, “para ajudar outras equipes de segurança a responder melhor a este incidente e usar ferramentas de busca, como busca avançada do Microsoft 365 Defender ou consultas do Azure Sentinel para pesquisar possíveis rastros de atividades anteriores”.
Veja isso
Invasão à FireEye e ao governo americano foi pelo Orion, da SolarWinds
Dados roubados no incidente da SolarWinds à venda por US$ 1 milhão
Alguns exemplos de táticas de evasão de hackers usadas na invasão da SolarWinds:
- Evitaram metodicamente o compartilhamento de indicadores para cada host comprometido, implantando o DLL Cobalt Strike em cada máquina separadamente
- Camuflaram e combinaram ferramentas e binários de cada ambiente, renomeando-as para combinar com os arquivos e programas no dispositivo comprometido
- Desativaram o registro de eventos usando AUDITPOL antes da atividade do teclado, ativando-o novamente depois
- Criaram regras de firewall para minimizar pacotes de saída em determinados protocolos antes de executar atividades de enumeração de rede (removidas após a conclusão dessas operações)
- Planejaram cuidadosamente as atividades de movimento lateral, primeiro desabilitando os serviços de segurança nos hosts
- Também se acredita terem usado o timestamping para alterar os carimbos de data / hora dos artefatos e aproveitar os procedimentos e ferramentas de limpeza para impedir a descoberta de implantes DLL maliciosos em ambientes afetados.
Com agências internacionais