Shadow

Microsoft rivela il rilevamento eluso degli attacchi SolarWinds

Microsoft condivide oggi un post che spiega in dettaglio come gli hacker di SolarWindows hanno eseguito le loro attività dannose all’interno della rete delle aziende violate senza essere rilevati.

 

La divulgazione di queste informazioni sconosciute viene effettuata da esperti di sicurezza che fanno parte del Microsoft 365 Defense Research Team, MSTIC (o Microsoft Threat Intelligence Center) e CDOC (Microsoft Cyber ​​Defense Operations Center).

Come hanno scoperto gli analisti della sicurezza, gli aggressori di SolarWinds hanno mostrato una serie di tattiche, sicurezza operativa e comportamenti anti-forensi che hanno ridotto la capacità di rilevamento delle azioni dannose da parte delle organizzazioni.

“Durante la nostra analisi approfondita delle tattiche, tecniche e procedure (TTP) dell’aggressore viste attraverso l’obiettivo della ricca telemetria di Microsoft 365 Defender, abbiamo osservato alcune tecniche che vale la pena rivelare per aiutare gli altri difensori a rispondere meglio a questo incidente e utilizzare strumenti di caccia come la caccia avanzata di Microsoft 365 Defender o query di Azure Sentinel per cercare potenziali tracce di attività passate “, rivelato da Microsoft.

L’azienda fornisce un elenco di tutte le tattiche, le tecniche e le procedure insolite utilizzate in questi attacchi. Ecco alcuni esempi di tattiche di evasione scoperte ed evidenziate da loro:

  • Distribuzione di impianti DLL Cobalt Strike personalizzati su ogni macchina per evitare indicatori condivisi,
  • Rinominare gli strumenti e i file binari in modo che corrispondano ai file e ai programmi del dispositivo compromesso,
  • Disattivazione della registrazione degli eventi con l’uso di AUDITPOL prima dell’attività pratica della tastiera e riattivazione in seguito,
  • Riduzione al minimo dei pacchetti in uscita per determinati protocolli prima di eseguire attività di enumerazione di rete rumorose mediante la creazione di regole firewall,
  • Disabilitare i dispositivi di sicurezza sul sistema host per pianificare le attività di spostamento laterale,
  • Utilizzo del timestomping per modificare i timestamp degli artefatti e sfruttare le procedure di cancellazione per impedire l’individuazione di DLL dannose