ผู้เชี่ยวชาญ Microsoft 365 Defender Research Team, Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Cyber Defense Operations Center (CDOC) เปิดเผยรายละเอียดของกลุ่มแฮกเกอร์ที่เข้าโจมตีระบบ SolarWinds (ซอฟต์แวร์บริหารจัดการอุปกรณ์เครือข่ายรูปแบบหนึ่งที่หน่วยงานนิยมใช้กันอย่างแพร่หลาย) สามารถผ่านการตรวจจับระบบรักษาความปลอดภัยได้

การโจมตีเริ่มขึ้นในเดือนกุมภาพันธ์ปี 2020 ต่อเนื่องมาจนถึงปัจจุบัน โดยแฮกเกอร์เริ่มจากการใช้ SolarWinds DLL backdoor ในการ compromise network ของเป้าหมาย หลังจากนั้นทำการ custom Cobalt Strike และเลือกเป้าหมายเพื่อเริ่มโจมตีแบบ hands-on attack ในเดือนพฤษภาคมและเดือนต่อมา (มิถุนายน) แฮกเกอร์ได้ลบ backdoor generation และ compromised code จาก SolarWinds binary เพื่อโจมตีต่อในลักษณะ hands-on-keyboard โดยใช้ Cobalt Strike ซึ่งถือว่าเป็นการโจมตีอย่างต่อเนื่องยาวนานถึงปัจจุบัน

ทั้งหมดเป็นรายละเอียดจากทีมผู้เชี่ยวชาญ Microsoft ที่ค้นพบในระหว่างการสืบสวนเหตุการณ์โจมตี SolarWinds supply-chain attack โดยแฮกเกอร์ถูกติดตามในชื่อ StellarParticle(CrowdStrike), UNC2452(FireEye), SolarStorm(Palo Alto Unit 42) และ Dark Halo(Volexity)

สำหรับเทคนิคโจมตีที่ทีมผู้เชี่ยวชาญจาก Microsoft เปิดเผยมีรายละเอียดดังนี้

  1. ใช้ custom Cobalt Strike DLL บนเครื่องของผู้ใช้งานเพื่อหลบเลี่ยง IOC บนเครื่อง
  2. เปลี่ยนชื่อเครื่องมือและ binary ให้ตรงกับไฟล์บนเครื่องเพื่ออำพราง
  3. ปิดการใช้งาน event logging โดยใช้เครื่องมือ AUDITPOL ก่อน keyboard activity และ back afterward
  4. สร้าง Firewall rule เพื่อลด packet ขาออกสำหรับบาง protocol ในกิจกรรมที่มีการใช้ network ปริมาณมาก (จะลบออกหลังดำเนินการเหล่านี้เสร็จสิ้น)
  5. ปิด security service บนเครื่องเป้าหมายก่อน lateral movement
  6. คาดว่ามีการใช้ timestomping เพื่อเปลี่ยน timestamp บนระบบเป้าหมายเพื่อซ่อนการติดตั้ง malicious DLL

การเปิดเผยในครั้งนี้ ทีม Microsoft มองว่าเป็นเทคนิคการโจมตีที่น่าสนใจและน่าศึกษา เพราะผู้โจมตีมีทักษะ ความรู้เกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยเป็นอย่างดี จึงทำให้สามารถหลบเลี่ยงระบบตรวจจับได้ อย่างไรก็ตาม Microsoft จะหาวิธีเพื่อรับมือให้ได้โดยเร็วที่สุด เพื่อความปลอดภัยของผู้ใช้งาน

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/



เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ