Хакеры оказались умелыми и методичными операторами, которые следуют передовым методам обеспечения безопасности операций.
https://www.securitylab.ru/upload/ib...7e49eebce6.jpg
ИБ-специалисты из компании Microsoft поделились подробностями о том, как хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний.
Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).
Как выяснили эксперты, атаковавшие SolarWinds хакеры продемонстрировали ряд тактик, оперативную безопасность и изощренное поведение, которые резко снизили способность взломанных организаций обнаружить взлом. Некоторые примеры тактики уклонения включают:
<ul><li>Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;
</li>
<li>Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;
</li>
<li>Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;
</li>
<li>Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);
</li>
<li>Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;
</li>
<li>Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.</li>
</ul>