Microsoft详细介绍了OPSEC,SolarWinds黑客使用的取证技术
| 导读 | 微软近日发布了一份报告,详细说明了对IT管理解决方案公司SolarWinds进行攻击的威胁参与者的活动和方法,包括其恶意软件传递方法,反取证行为和操作安全性(OPSEC)。 |
某些人认为是俄罗斯赞助的攻击者,在2019年破坏了SolarWinds的系统,并使用一种名为Sundrop的恶意软件在Sun公司的Orion产品中插入了被追踪为Sunburst的后门。Sunburst已交付给成千上万的组织,但是使攻击者产生兴趣的几百名受害者收到了其他几款恶意软件,其许多系统都使用了手动键盘技术而受到威胁。在这些受害者的情况下,黑客使用了名为Teardrop和Raindrop的装载机来运送Cobalt Strike有效载荷。
微软在最新的SolarWinds攻击报告中(作为Solorigate进行了跟踪),解释了攻击者如何从Sunburst恶意软件转移到Cobalt Strike加载程序,以及他们如何使组件尽可能地分开以避免被检测到。微软说:“我们从Microsoft 365 Defender数据的狩猎练习中发现的信息进一步证实了攻击者的高水平技能以及为避免发现而进行的详尽计划。”,微软强调了黑客使用的一些更有趣的OPSEC和反取证方法。一种技术涉及确保每台受感染的计算机具有唯一的指示符,例如不同的Cobalt Strike DLL植入,文件夹和文件名,C&C域和IP,HTTP请求,文件元数据和启动的进程。微软指出:“为每台受感染的计算机应用这种级别的排列是一项令人难以置信的努力,通常是其他对手所看不到的,并且可以防止完全识别网络中的所有受感染资产或在受害者之间有效共享威胁情报。”
攻击者还重命名了他们的工具,并将其放置在文件夹中,以使其看起来尽可能合法。Microsoft列出的其他操作和活动包括以下内容:在进行密集且持续的动手键盘活动之前,攻击者需要使用AUDITPOL禁用事件日志记录,然后再重新启用它。以类似的方式,在运行嘈杂的网络枚举活动(例如重复的NSLOOKUP或LDAP查询)之前,攻击者精心准备了特殊的防火墙规则,以最大程度地减少某些协议的传出数据包。在完成网络侦察之后,还有条不紊地删除了防火墙规则。未经准备,就永远不会进行横向运动。为了增加其活动未被检测到的可能性,攻击者首先枚举了在目标主机上运行的远程进程和服务,并决定仅在禁用某些安全服务之后才横向移动。
我们相信,攻击者使用时间戳记来更改工件的时间戳记,并且还利用专业的擦除程序和工具来复杂化从受影响环境中查找和恢复DLL植入物的过程。虽然在MITER ATT&CK框架中已经记录了攻击者利用的许多战术,技术和程序(TTP),但微软表示正在与MITER合作,以确保将在这些攻击中观察到的新技术也添加到该框架中。
网络安全公司和研究人员继续分析SolarWinds黑客的活动。FireEye本周发布了一份白皮书,详细介绍了SolarWinds黑客针对Microsoft 365环境使用的TTP。
网络安全公司Malwarebytes本周透露,SolarWinds黑客也将其作为目标-不是通过SolarWinds软件,而是通过滥用具有对Microsoft 365和Azure环境的特权访问的应用程序。更多Linux资讯请查看:https://www.linuxprobe.com
Microsoft详细介绍了OPSEC,SolarWinds黑客使用的取证技术相关推荐
- 黑客专业术语——入门详细介绍
前言 黑客专业术语是黑客们及内部交流的专有名词,理解专业术语,对入门黑客是有必要的 1.肉鸡 所谓肉鸡,是一种很形象的比喻,指那些可以被黑客随意控制的电脑,可以随意操纵肉鸡,却又不被对方察觉. 2.木 ...
- 微软:SolarWinds 黑客的目标是受害者的云数据
聚焦源代码安全,网罗国内外最新资讯! 微软表示,SolarWinds 供应链攻击的最终目标是,在本地网络上部署 Sunburst/Solorigate 后门后,跳转到受害者的云资产. 虽然微软在周一 ...
- 东方联盟发现SolarWinds黑客使用的3种新恶意软件
近日,知名网络黑客安全组织东方联盟表示,他们发现了与SolarWinds供应链攻击有关的另外三种恶意软件菌株,其中包括"复杂的第二阶段后门".这套新的恶意软件被称为GoldMax( ...
- 什么是UPNP协议:UPNP协议作用及启用路由器UPNP支持的方法详细介绍
目录 [隐藏] UPNP简介 基本概念 官网解释 以下是微软官方网站对UPnP的解释: 以下是BC官方网站对UPnP的解释: UPnP是用来干什么的? 经典应用 网络地址转换 NAT 穿越技术 实际应 ...
- matlab您的安装可能需要执行其他配置步骤_手把手超详细介绍MATLAB+RoadRunner+Unreal Engine自动驾驶联合仿真...
RoadRuner是MathWorks新收购的自动驾驶场景构建工具,Unreal Engine是商业游戏引擎.RoadRunner创建驾驶场景,导入到Unreal Engine,与Simulink联合 ...
- Android多开和虚拟化--Docker概念的详细介绍
本文只是对Docker的概念做了较为详细的介绍,并不涉及一些像Docker环境的安装以及Docker的一些常见操作和命令. 通过阅读本文你将知道以下概念: 容器 什么是Docker? Docker思想 ...
- _MSC_VER详细介绍
_MSC_VER详细介绍 _MSC_VER是微软的预编译控制. _MSC_VER可以分解为: MS:Microsoft的简写. C:MSC就是Microsoft的C编译器. VER:Version的简 ...
- python中uniform(a、b)_关于uniform的详细介绍
超链接:也叫URL(Uniform Resource Locator),就是统一资源定位器.一般效果是我们点击网页上某个地方,网页会自动跳转到另外一个地方.一般链接遵循以下要求:host.domain ...
- 火炬之光2找不到服务器,火炬之光2无法运行解决办法详细介绍
火炬之光2无法运行解决办法详细介绍 2012-09-28 15:23:07来源:游戏下载编辑:评论(0) 不少玩家在安装了火炬之光2游戏后无法运行,小编特此为你找了几种的解决办法,下面一起来看一下火炬 ...
最新文章
- java虚拟机内存分为,深入理解Java虚拟机笔记(一)----内存划分
- MFC中进度条控件的使用方法
- 使用velocity
- 计算bom的准确用量
- ecshop 模板页php,解决ecshop新建页面分页问题
- 计算机技术中,下列的英文缩写和中文名字的对照中,正确的是,计算机技术中,下列的英文缩写和中文名字的对照中。正确的是( )。 a.cad——计算机辅助制造b.cam——计...
- Mac配置FileZilla
- Lady Gaga 发起“云演唱会”,美高校推“云毕业典礼”!云直播迎来又一风口?...
- ubuntu 虚拟显示器制作
- 规则引擎如何实现生产调度系统
- Python开发工具PyCharm的web开发教程:创建并运行 Python 项目
- 苹果屏蔽更新描述文件_iOS屏蔽更新描述文件以及超级详细安装方法分享
- 空间直线同球体交点求解
- 案例|工业物联网解决方案•空调系统智能监控运维云平台
- 2014年蓝桥杯预赛 C/C++本科B组 解题报告 史丰收速算
- 给网站添加优质内容的25种方式
- 管理经济学 知识点总结(一)
- c# 指定打开某个路径下的CMD_Windows小技巧 批处理文件实现目录下文件批量打包压缩...
- uniapp推出小程序SDK,会是一场技术驱动的行业变革吗?
- 关闭计算机防火墙命令,win10系统关闭防火墙命令执行的设置方案