Shadow

Microsoft divulgue la détection éludée des attaques SolarWinds

Microsoft partage aujourd’hui un article détaillant comment les pirates de SolarWindows ont effectué leurs activités malveillantes à l’intérieur du réseau des entreprises piratées sans être détectés.

La divulgation de ces informations inconnues est effectuée par des experts en sécurité appartenant à l’équipe de recherche Microsoft 365 Defence, MSTIC (ou Microsoft Threat Intelligence Center) et CDOC (Microsoft Cyber ​​Defense Operations Center).

Comme l’ont constaté les analystes de la sécurité, les attaquants de SolarWinds ont présenté une gamme de tactiques, de sécurité d’exploitation et de comportement anti-médico-légal qui ont réduit la capacité de détection des actions malveillantes des entreprises.

«Au cours de notre analyse approfondie des tactiques, techniques et procédures (TTP) de l’attaquant vues à travers la lentille de la riche télémétrie de Microsoft 365 Defender, nous avons observé quelques techniques qui méritent d’être révélées pour aider les autres défenseurs à mieux répondre à cet incident et à utiliser des outils de recherche comme la chasse avancée Microsoft 365 Defender ou les requêtes Azure Sentinel pour rechercher des traces potentielles d’activité passée », a révélé Microsoft.

La société fournit une liste de toutes les tactiques, techniques et procédures inhabituelles utilisées dans ces attaques. Voici des exemples de tactiques d’évasion découvertes et mises en évidence par eux:

  • Déploiement d’implants DLL Cobalt Strike personnalisés sur chaque machine pour éviter les indicateurs partagés,
  • Renommer les outils et les binaires pour qu’ils correspondent aux fichiers et programmes de l’appareil compromis,
  • Désactivation de la journalisation des événements avec l’utilisation d’AUDITPOL avant l’activité pratique du clavier et la réactivation par la suite,
  • Minimiser les paquets sortants pour certains protocoles avant d’exécuter des activités d’énumération de réseau bruyant en créant des règles de pare-feu,
  • Désactivation des dispositifs de sécurité sur le système hôte pour planifier les activités de mouvement latéral,
  • Utilisation du timestomping pour modifier les horodatages des artefacts et tirer parti des procédures d’effacement pour empêcher la découverte de DLL malveillantes