CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Como invasores se esconderam por 15 meses na SolarWinds

Da Redação
21/01/2021

A Microsoft começou a publicar informações sobre as táticas, técnicas e procedimentos observados no ataque Solorigate, que atingiu a cadeia de atualização de software da SolarWinds e por causa disso contaminou ao menos 18 mil instalações.

Em um relatório publicado ontem, a empresa informa que seus especialistas observaram algumas técnicas que valem a pena divulgar, “para ajudar outras equipes de segurança a responder melhor a este incidente e usar ferramentas de busca, como busca avançada do Microsoft 365 Defender ou consultas do Azure Sentinel para pesquisar possíveis rastros de atividades anteriores”.

Timeline da invasão. Clique para ampliar

Veja isso
Invasão à FireEye e ao governo americano foi pelo Orion, da SolarWinds
Dados roubados no incidente da SolarWinds à venda por US$ 1 milhão

Alguns exemplos de táticas de evasão de hackers usadas na invasão da SolarWinds:

  • Evitaram metodicamente o compartilhamento de indicadores para cada host comprometido, implantando o DLL Cobalt Strike em cada máquina separadamente
  • Camuflaram e combinaram ferramentas e binários de cada ambiente, renomeando-as para combinar com os arquivos e programas no dispositivo comprometido
  • Desativaram o registro de eventos usando AUDITPOL antes da atividade do teclado, ativando-o novamente depois
  • Criaram regras de firewall para minimizar pacotes de saída em determinados protocolos antes de executar atividades de enumeração de rede (removidas após a conclusão dessas operações)
  • Planejaram cuidadosamente as atividades de movimento lateral, primeiro desabilitando os serviços de segurança nos hosts
  • Também se acredita terem usado o timestamping para alterar os carimbos de data / hora dos artefatos e aproveitar os procedimentos e ferramentas de limpeza para impedir a descoberta de implantes DLL maliciosos em ambientes afetados.

Com agências internacionais

Compartilhar: