当前位置:首页 > 网络黑客 > 正文内容

微软发布 SolarWinds 入侵事件深度调查报告 黑客技巧与娴熟度超高

访客56年前 (1970-01-01)网络黑客883

2021 年 1 月 20 日,微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告,并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中,SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染,导致包括微软在内的数以万计的客户,在部署更新后受到了不同程度的影响。

在这篇报告中,微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。

“首先,在每台机器上的 Cobalt Strike 动态链接库(DLL)植入都是唯一的,以避免恶意软件自身被筛查到任何重复的痕迹。

其次,攻击者重用了文件、文件夹、导出功能的名称,辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。”

如此极端的差异化,同样出现在了不可执行的部分,比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。

想要对每台受感染的计算机执行如此细致筛查,显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段,在很长一段时间内躲过了安全防护系统的检测。

此外攻击者不仅勤奋,还显得相当具有耐心。比如为了避免被检测到,它还会首先枚举目标计算机上运行的远程进程和服务。

接着通过编辑目标计算机的注册表,以禁用特定安全服务进程的自动启动。在切实的攻击发起之前,恶意软件会非常耐心地等待计算机重新启动。

最后,微软指出了 Solorigate 攻击者的其它聪明之处,比如仅在工作时间段内对系统发起攻击,因为此时发生的正常活动会掩盖他们的真实目的。

结合复杂的攻击链和旷日持久的操作,安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解,辅以历史数据和强大的分析工具,才能尽早地对异常状况展开调查。

(消息来源:cnBeta;封面源自 *** )

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32613.html

“微软发布 SolarWinds 入侵事件深度调查报告 黑客技巧与娴熟度超高” 的相关文章

Cloudflare 成功阻止针对其客户最大规模的 HTTPS DDoS 攻击

Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...

Google Chrome 99.0.4844.84 紧急更新修复了已被利用的零日漏洞

Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌...

以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复

以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...

Emotet 垃圾邮件软件在全球范围内攻击邮箱

Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并...

FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...

Google 安全人员:“ NSO 的漏洞是我们见过的最复杂的漏洞之一”

Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究,并揭示了该公司攻击的复杂性。Google Project Zero(零点项目)指出,ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外,它还说明了NSO集团...

评论列表

双笙青朷
2年前 (2022-07-27)

复杂的攻击链和旷日持久的操作,安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解,辅以历史数据和强大的分析工具,才能尽早地对异常状况展开调查。(消息来源:cnBeta;封面源自网络)

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。