ADPT

Microsoft เปิดเผยความซับซ้อนของแฮ็กเกอร์ที่โจมตี SolarWinds

Microsoft เป็นอีกหนึ่งทีมงานที่ได้รับผลกระทบจากการที่ SolarWinds Orion ถูกแทรกแซง โดยหลังจากศึกษามาระยะหนึ่งทีมงานได้พบกับความจริงว่าทำไม คนร้ายระดับพระกาฬนี้จึงสามารถซ่อนตัวได้อย่างยาวนาน

credit : microsoft

Microsoft และ FireEye ได้ตรวจพบมัลแวร์ที่ชื่อ Sunburst หรือ Solorigate ซึ่งเป็น DLL ตัวหนึ่งที่ถูก Inject เข้ามาใน SolarWinds Orion เพื่อเป็น Backdoor หลังจากนั้นก็จะมีการโหลดเครื่องมืออื่นๆต่อไป อย่างไรก็ดี Microsoft ได้เปิดเผยเทคนิคต่างๆ ที่คนร้ายดำเนินการไว้ดังนี้

1.) หลังจากแฝงตัวในซอฟต์แวร์ Orion ซึ่งกระจายออกสู่ผู้ใช้งานในเดือนมีนาคม คนร้ายใช้เวลาคัดเลือกเป้าหมายที่สนใจนานนับเดือน และเมื่อเข้าไปปฏิบัติการที่ลูกค้าได้แล้วยังกลับมาลบมัลแวร์ใน Orion ออกไปในเดือนมิถุนายน

2.) ในแต่ละโฮสต์ที่คนร้ายเข้าแทรกแซงนั้น มีการ Customize Cobalt Strike DLL ไม่เหมือนกันเลย เพื่อหลีกเลี่ยงการตรวจจับ

3.) ก่อนที่จะพิมพ์อะไร จะปิด Log ก่อนด้วย AUDITPOL แล้วค่อยพิมพ์คำสั่ง

4.) สร้าง Firewall Rule เพื่อจำกัดให้มีแพ็กเก็ตขาออกน้อยที่สุดในแต่ละโปรโตคอล และลบ Rule ออกหลังจากทำการ Reconnaissance เครือข่ายเหยื่อสำเร็จ

5.) เปลี่ยนชื่อเครื่องมือ และไบนารี รวมถึงใส่ไว้ในโฟลเดอร์ที่ดูเหมือนไฟล์หรือโปรแกรมที่อยู่บนเครื่องอยู่แล้ว

6.) ก่อนเริ่มทำการสิ่งใดจะคอยปิดบริการด้านความมั่นคงปลอดภัยบนเครื่องเสียก่อน

7.) เชื่อว่ามีการแก้ไขค่า Timestamp และมีการลบบางอย่างออก

8.) แยกการ Execute ของ Cobalt Strike Loader ออกจากโปรเซสของ SolarWinds Binary ให้มากที่สุด เพราะกรณีที่ Loader ถูกพบก็ยังเหลือไบนารีที่ถูกแทรกแซงได้ของ SolarWinds ไว้ทำงานต่อได้

ผู้สนใจสามารถเข้าไปอ่านรายงานเต็มๆจาก Microsoft ได้ที่ https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/ และ https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ASUS ส่ง ‘ExpertBook B9’ อัพเกรดใหม่เดินหน้าบุกตลาดโน้ตบุ๊กกลุ่มธุรกิจ ชูน้ำหนักสุดเบาเพียง 1 กิโลกรัม และระบบความปลอดภัยระดับองค์กร พร้อมขยายตลาดเจาะกลุ่มการศึกษาเปิดตัว ‘ASUS BR1100’ สำหรับเด็กวัยประถมศึกษา

เอซุส (ประเทศไทย) จำกัด เปิดตัวสองโน้ตบุ๊กใหม่ในกลุ่มผลิตภัณฑ์องค์กร (Commercial) นำโดยโน้ตบุ๊กธุรกิจ ASUS ExpertBook B9 (B9400) รุ่นล่าสุดประจำปี 2021 ที่มาพร้อมการอัพเกรดใหม่ ตอบโจทย์คนทำงานยิ่งขึ้น พร้อมเปิดตลาดการศึกษา …

[Guest Post] Huawei หัวเว่ย เปิดศูนย์ความปลอดภัยทางไซเบอร์และความโปร่งใสด้านการปกป้อง ความเป็นส่วนตัวระดับโลก ที่ใหญ่ที่สุดในประเทศจีน

พร้อมเดินหน้าสนับสนุนการพัฒนาศักยภาพในระดับอุตสาหกรรม แบ่งปันความรู้ และสร้างความร่วมมือที่แข็งแกร่งมากขึ้น