Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Microsoft: SolarWinds 해커가 탐지를 회피한 방법 공유
작성일 2021-01-21 조회 32

Microsoft는 SolarWinds 해커가 탐지를 회피 한 방법을 공유합니다.

 

 

Microsoft는 오늘, SolarWinds 해커가 침입한 회사의 네트워크 내부에서 어떻게 탐지되지 않은 상태로 악의적인 활동을 할 수 있었는지에 대한 세부 정보를 공유했다.

 

이전에 알려지지 않은 이 정보는 Microsoft 365 Defender 연구팀, MSTIC(Microsoft Threat Intelligence Center) 및 CDOC(Microsoft Cyber ​​Defense Operations Center)의 보안 전문가가 공개했다.

 

오늘 발표한 보고서는 Solorigate(Sunburst) DLL 백도어를 삭제한 후 사용자 Cobalt Strike loaders(Teardrop, Raindrop 등)를 배포하는데 사용되는 단계와 도구인 Solorigate 2단계 활성화에 대한 새로운 세부 정보를 공유한다.

 

 

SolarWinds 해커의 회피 전술

 

Microsoft의 보안 전문가들이 발견한 바와 같이, SolarWinds 공격을 진행한 해커들은 다양한 전술, 운영 보안, 반포렌식 행동을 보여주었는데, 이는 침해 당한 조직의 악의적인 행동을 탐지하는 능력을 감소시켰다.

 

Microsoft는 "Solorigate를 배후로 하는 공격자들은 추적을 최소화하고 탐지를 피하기 위해 운영 보안(Opsec) 모범 사례를 따르는 능숙하고 체계적인 운영자"라고 밝혔습니다.

 

"Microsoft 365 Defender의 원격 측정을 통해 본 공격자의 전술, 기술 및 절차(TTP)에 대한 심층 분석 과정에서 다른 방어자들이 이 사건에 더 잘 대응하기 위해 도움이 되는 몇 가지 기술을 공개했다.

 

Microsoft 365 Defender advanced hunting 또는 Azure Sentinel 쿼리와 같은 공격 도구를 사용하여 과거 활동의 잠재적인 흔적을 검색한다.

 

Microsoft가 발견하고 강조한 SolarWinds 해커의 회피 전술 예시:

 

- 각 시스템에 맞춤형 Cobalt Strike DLL 임플란트를 배포하여 감염된 호스트마다 공유 지표 방법 회피

 

- 손상된 장치의 파일 및 프로그램과 일치하도록 도구 및 바이너리의 파일 이름을 변경하여 환경에 위장 및 혼합

 

- 실제 키보드 작업 전에 AUDITPOL을 사용하여 이벤트 로깅을 비활성화하고 나중에 다시 활성화

 

- 노이즈가 많은 네트워크 열거 작업을 실행하기 전에 특정 프로토콜의 송신 패킷을 최소화하는 방화벽 규칙 생성(이 작업이 완료된 후 제거됨)

 

- 먼저 대상 호스트에서 보안 서비스를 비활성하여 측면 이동 작업을 신중하게 계획

 

- timestomping을 사용하여 아티팩트의 타임 스탬프를 변경, 삭제 절차 및 도구를 활용하여 영향을받는 환경에서 악성 DLL 임플란트의 발견 방해

 

또한 Microsoft는 이러한 공격에 사용되는 가장 흥미롭고 특이한 전술, 기술 및 절차(TTP) 목록을 제공한다.

 

또한 "이 사건에서 나오는 새로운 기술이 향후 ATT&CK 프레임워크의 향후 업데이트에 문서화되도록 MITRE와 적극적으로 협력하고 있다"고 밝혔다.

 

 

공급망 공격 타임라인

 

이러한 공격의 세부 타임라인은 Solorigate DLL 백도어가 2월에 배치되었고 3월 말에 손상된 네트워크에 배포되었음을 보여준다.

 

이 단계 후 위협 행위자는 맞춤형 Cobalt Strike 임플란트를 준비하고 실제 공격이 가장 유력한 5월 초까지 관심 대상을 선택했다.

 

"6월에 SolarWinds 바이너리에서 백도어 생성 기능과 손상된 코드가 제거된 것은 공격자가 충분한 수의 관심 대상에 도달했으며 그들의 목표가 백도어 배포 및 활성화(1단계)에서 선택된 피해자 네트워크에서 작동하고 Cobalt Strike 임플란트(2 단계)를 사용한 실제 키보드 활동으로 목표가 전환되었음을 알 수 있다.

 

 

Solorigate 공격 타임 라인

[그림2. Solorigate 공격 타임 라인]

 

 

Microsoft는 StellarParticle(CrowdStrike), UNC2452(FireEye), SolarStorm(Palo Alto Unit 42) 및 Dark Halo(Volexity)로 추적된 위협 행위자가 진행한 SolarWinds 공급망 공격에 대한 지속적인 조사에서 이러한 새로운 세부 정보를 발견했다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/

첨부파일 첨부파일이 없습니다.
태그 SolarWinds  Solorigate DLL 백도어