Microsoft เปิดเผยความซับซ้อนของแฮ็กเกอร์ที่โจมตี SolarWinds

Microsoft เป็นอีกหนึ่งทีมงานที่ได้รับผลกระทบจากการที่ SolarWinds Orion ถูกแทรกแซง โดยหลังจากศึกษามาระยะหนึ่งทีมงานได้พบกับความจริงว่าทำไม คนร้ายระดับพระกาฬนี้จึงสามารถซ่อนตัวได้อย่างยาวนาน

Microsoft และ FireEye ได้ตรวจพบมัลแวร์ที่ชื่อ Sunburst หรือ Solorigate ซึ่งเป็น DLL ตัวหนึ่งที่ถูก Inject เข้ามาใน SolarWinds Orion เพื่อเป็น Backdoor หลังจากนั้นก็จะมีการโหลดเครื่องมืออื่นๆต่อไป อย่างไรก็ดี Microsoft ได้เปิดเผยเทคนิคต่างๆ ที่คนร้ายดำเนินการไว้ดังนี้

1.) หลังจากแฝงตัวในซอฟต์แวร์ Orion ซึ่งกระจายออกสู่ผู้ใช้งานในเดือนมีนาคม คนร้ายใช้เวลาคัดเลือกเป้าหมายที่สนใจนานนับเดือน และเมื่อเข้าไปปฏิบัติการที่ลูกค้าได้แล้วยังกลับมาลบมัลแวร์ใน Orion ออกไปในเดือนมิถุนายน

2.) ในแต่ละโฮสต์ที่คนร้ายเข้าแทรกแซงนั้น มีการ Customize Cobalt Strike DLL ไม่เหมือนกันเลย เพื่อหลีกเลี่ยงการตรวจจับ

3.) ก่อนที่จะพิมพ์อะไร จะปิด Log ก่อนด้วย AUDITPOL แล้วค่อยพิมพ์คำสั่ง

4.) สร้าง Firewall Rule เพื่อจำกัดให้มีแพ็กเก็ตขาออกน้อยที่สุดในแต่ละโปรโตคอล และลบ Rule ออกหลังจากทำการ Reconnaissance เครือข่ายเหยื่อสำเร็จ

5.) เปลี่ยนชื่อเครื่องมือ และไบนารี รวมถึงใส่ไว้ในโฟลเดอร์ที่ดูเหมือนไฟล์หรือโปรแกรมที่อยู่บนเครื่องอยู่แล้ว

6.) ก่อนเริ่มทำการสิ่งใดจะคอยปิดบริการด้านความมั่นคงปลอดภัยบนเครื่องเสียก่อน

7.) เชื่อว่ามีการแก้ไขค่า Timestamp และมีการลบบางอย่างออก

8.) แยกการ Execute ของ Cobalt Strike Loader ออกจากโปรเซสของ SolarWinds Binary ให้มากที่สุด เพราะกรณีที่ Loader ถูกพบก็ยังเหลือไบนารีที่ถูกแทรกแซงได้ของ SolarWinds ไว้ทำงานต่อได้

ผู้สนใจสามารถเข้าไปอ่านรายงานเต็มๆจาก Microsoft ได้ที่ https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/ และ https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/