Shadow

Microsoft revela la detección evadida de los ataques SolarWinds

Microsoft comparte hoy una publicación que detalla cómo los piratas informáticos de SolarWindows realizaron sus actividades maliciosas dentro de la red de las empresas violadas sin ser detectados.

La divulgación de esta información desconocida la realizan expertos en seguridad que forman parte del Equipo de investigación de defensa de Microsoft 365, MSTIC (o Centro de inteligencia de amenazas de Microsoft) y CDOC (Centro de operaciones de defensa cibernética de Microsoft).

Como descubrieron los analistas de seguridad, los atacantes de SolarWinds mostraron una variedad de tácticas, seguridad operativa y comportamiento anti-forense que redujeron la capacidad de detección de acciones maliciosas de las organizaciones.

«Durante nuestro análisis en profundidad de las tácticas, técnicas y procedimientos (TTP) del atacante vistos a través de la lente de la rica telemetría de Microsoft 365 Defender, observamos algunas técnicas que vale la pena revelar para ayudar a otros defensores a responder mejor a este incidente y usar herramientas de búsqueda como Microsoft 365 Defender advanced hunting o consultas de Azure Sentinel para buscar posibles rastros de actividad pasada ”, reveló Microsoft.

La empresa proporciona una lista de todas las tácticas, técnicas y procedimientos inusuales que se utilizan en estos ataques. Aquí hay ejemplos de tácticas de evasión descubiertas y destacadas por ellos:

  • Implementar implantes DLL Cobalt Strike personalizados en cada máquina para evitar indicadores compartidos,
  • Cambiar el nombre de las herramientas y los binarios para que coincidan con los archivos y programas del dispositivo comprometido,
  • Deshabilitar el registro de eventos con el uso de AUDITPOL antes de la actividad práctica del teclado y habilitarlo nuevamente después,
  • Minimizar los paquetes salientes para ciertos protocolos antes de ejecutar actividades de enumeración de red ruidosas mediante la creación de reglas de firewall.
  • Deshabilitar los dispositivos de seguridad en el sistema de hosts para planificar las actividades de movimiento lateral,
  • Uso de timestomping para cambiar las marcas de tiempo de los artefactos y aprovechar los procedimientos de borrado para impedir el descubrimiento de DLL maliciosas