Microsoft เปิดเผยความซับซ้อนของแฮ็กเกอร์ที่โจมตี SolarWinds

Microsoft เป็นอีกหนึ่งทีมงานที่ได้รับผลกระทบจากการที่ SolarWinds Orion ถูกแทรกแซง โดยหลังจากศึกษามาระยะหนึ่งทีมงานได้พบกับความจริงว่าทำไม คนร้ายระดับพระกาฬนี้จึงสามารถซ่อนตัวได้อย่างยาวนาน

credit : microsoft

Microsoft และ FireEye ได้ตรวจพบมัลแวร์ที่ชื่อ Sunburst หรือ Solorigate ซึ่งเป็น DLL ตัวหนึ่งที่ถูก Inject เข้ามาใน SolarWinds Orion เพื่อเป็น Backdoor หลังจากนั้นก็จะมีการโหลดเครื่องมืออื่นๆต่อไป อย่างไรก็ดี Microsoft ได้เปิดเผยเทคนิคต่างๆ ที่คนร้ายดำเนินการไว้ดังนี้

1.) หลังจากแฝงตัวในซอฟต์แวร์ Orion ซึ่งกระจายออกสู่ผู้ใช้งานในเดือนมีนาคม คนร้ายใช้เวลาคัดเลือกเป้าหมายที่สนใจนานนับเดือน และเมื่อเข้าไปปฏิบัติการที่ลูกค้าได้แล้วยังกลับมาลบมัลแวร์ใน Orion ออกไปในเดือนมิถุนายน

2.) ในแต่ละโฮสต์ที่คนร้ายเข้าแทรกแซงนั้น มีการ Customize Cobalt Strike DLL ไม่เหมือนกันเลย เพื่อหลีกเลี่ยงการตรวจจับ

3.) ก่อนที่จะพิมพ์อะไร จะปิด Log ก่อนด้วย AUDITPOL แล้วค่อยพิมพ์คำสั่ง

4.) สร้าง Firewall Rule เพื่อจำกัดให้มีแพ็กเก็ตขาออกน้อยที่สุดในแต่ละโปรโตคอล และลบ Rule ออกหลังจากทำการ Reconnaissance เครือข่ายเหยื่อสำเร็จ

5.) เปลี่ยนชื่อเครื่องมือ และไบนารี รวมถึงใส่ไว้ในโฟลเดอร์ที่ดูเหมือนไฟล์หรือโปรแกรมที่อยู่บนเครื่องอยู่แล้ว

6.) ก่อนเริ่มทำการสิ่งใดจะคอยปิดบริการด้านความมั่นคงปลอดภัยบนเครื่องเสียก่อน

7.) เชื่อว่ามีการแก้ไขค่า Timestamp และมีการลบบางอย่างออก

8.) แยกการ Execute ของ Cobalt Strike Loader ออกจากโปรเซสของ SolarWinds Binary ให้มากที่สุด เพราะกรณีที่ Loader ถูกพบก็ยังเหลือไบนารีที่ถูกแทรกแซงได้ของ SolarWinds ไว้ทำงานต่อได้

ผู้สนใจสามารถเข้าไปอ่านรายงานเต็มๆจาก Microsoft ได้ที่ https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/ และ https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …