SUSE by Ingram

Microsoft เปิดเผยความซับซ้อนของแฮ็กเกอร์ที่โจมตี SolarWinds

Microsoft เป็นอีกหนึ่งทีมงานที่ได้รับผลกระทบจากการที่ SolarWinds Orion ถูกแทรกแซง โดยหลังจากศึกษามาระยะหนึ่งทีมงานได้พบกับความจริงว่าทำไม คนร้ายระดับพระกาฬนี้จึงสามารถซ่อนตัวได้อย่างยาวนาน

credit : microsoft

Microsoft และ FireEye ได้ตรวจพบมัลแวร์ที่ชื่อ Sunburst หรือ Solorigate ซึ่งเป็น DLL ตัวหนึ่งที่ถูก Inject เข้ามาใน SolarWinds Orion เพื่อเป็น Backdoor หลังจากนั้นก็จะมีการโหลดเครื่องมืออื่นๆต่อไป อย่างไรก็ดี Microsoft ได้เปิดเผยเทคนิคต่างๆ ที่คนร้ายดำเนินการไว้ดังนี้

1.) หลังจากแฝงตัวในซอฟต์แวร์ Orion ซึ่งกระจายออกสู่ผู้ใช้งานในเดือนมีนาคม คนร้ายใช้เวลาคัดเลือกเป้าหมายที่สนใจนานนับเดือน และเมื่อเข้าไปปฏิบัติการที่ลูกค้าได้แล้วยังกลับมาลบมัลแวร์ใน Orion ออกไปในเดือนมิถุนายน

2.) ในแต่ละโฮสต์ที่คนร้ายเข้าแทรกแซงนั้น มีการ Customize Cobalt Strike DLL ไม่เหมือนกันเลย เพื่อหลีกเลี่ยงการตรวจจับ

3.) ก่อนที่จะพิมพ์อะไร จะปิด Log ก่อนด้วย AUDITPOL แล้วค่อยพิมพ์คำสั่ง

4.) สร้าง Firewall Rule เพื่อจำกัดให้มีแพ็กเก็ตขาออกน้อยที่สุดในแต่ละโปรโตคอล และลบ Rule ออกหลังจากทำการ Reconnaissance เครือข่ายเหยื่อสำเร็จ

5.) เปลี่ยนชื่อเครื่องมือ และไบนารี รวมถึงใส่ไว้ในโฟลเดอร์ที่ดูเหมือนไฟล์หรือโปรแกรมที่อยู่บนเครื่องอยู่แล้ว

6.) ก่อนเริ่มทำการสิ่งใดจะคอยปิดบริการด้านความมั่นคงปลอดภัยบนเครื่องเสียก่อน

7.) เชื่อว่ามีการแก้ไขค่า Timestamp และมีการลบบางอย่างออก

8.) แยกการ Execute ของ Cobalt Strike Loader ออกจากโปรเซสของ SolarWinds Binary ให้มากที่สุด เพราะกรณีที่ Loader ถูกพบก็ยังเหลือไบนารีที่ถูกแทรกแซงได้ของ SolarWinds ไว้ทำงานต่อได้

ผู้สนใจสามารถเข้าไปอ่านรายงานเต็มๆจาก Microsoft ได้ที่ https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/ และ https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Allied Telesis Net.Campus Webinar: 3 คอร์สอบรมฟรีด้าน Network Visualization, Network Operations และ WLAN Troubleshooting

Allied Telesis เปิดคอร์สอบรมออนไลน์ Net.Campus Webinar 3 หลักสูตรทางด้าน Network Visualization, Network Operations และ WLAN Troubleshooting ในวันที่ 11, …

เสริมเกราะป้องกันด้าน Cybersecurity แบบครบวงจรกับ G-Able

เมื่อโลกกำลังก้าวเข้าสู่ยุคที่ผู้ใช้งานสามารถเข้าถึงและใช้บริการด้านข้อมูลผ่านระบบเทคโนโลยีสารสนเทศได้อย่างสะดวก รวดเร็ว ไม่จำกัดสถานที่และเวลา ในขณะเดียวกันข้อมูลที่อยู่ในระบบก็ตกอยู่ในความเสี่ยงต่อการถูกโจมตี ขโมย หรือถูกทำลายได้เช่นกัน ซึ่งภัยคุกคามทางไซเบอร์นั้นมีแต่จะทวีความรุนแรงขึ้นเรื่อย ๆ ดังนั้นการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) จึงเป็นสิ่งที่ต้องพัฒนาไปพร้อมกับความก้าวหน้าของระบบเทคโนโลยีนั้นเอง