微软公布SolarWinds黑客的闪避侦测技巧

在国家级黑客借由渗透SolarWinds Orion Platform构建系统,以针对采用Orion Platform的特定组织发动攻击的事件曝光后,各大安全企业仍在陆续披露对该攻击的调查成果,本周微软则公布了SolarWinds黑客为了尽可能地潜伏在被害系统上,采用了许多的闪避侦测技巧。

CrowdStrike的调查显示,入侵Orion Platform的第一个恶意程序为Sunspot,它负责侦测Orion产品的编译程序,以伺机把Orion的其中一个文件置换成含有Sunburst木马程序的文件;根据SolarWinds的统计,全球约有1.8万个组织采用了被植入Sunburst的Orion;然而,黑客并非对这1.8万个组织都有兴趣,FireEye首席执行官Kevin Mandia在接受CBS专访时指出,大约有50个组织为黑客的攻击目标且真正受到影响,呼应了微软的说法。

本周微软则公布了黑客在借由Sunburst木马程序进驻攻击目标之后,在第二阶段所采取的攻击行动,以及各式各样用来躲避侦测的手法。

黑客在第二阶段的目标是利用各种定制化的恶意加载器,包括Teardrop与Raindrop等,于受害端点中植入渗透工具Cobalt Strike。微软发现,黑客刻意地隔离Sunburst与Cobalt Strike这两个组件,以于受害者在发现Cobalt Strike之后,还能保护Sunburst的存在。

由于黑客的目的是尽可能地长久隐匿于被害系统上,因此在躲避侦测上费了许多功夫,包括避免每个受感染的主机出现同样的指标,因此,每台机器上的Cobalt Strike DLL都是独特的,避免使用重复的文件夹名称、文件名称、导出函数名称、C2域名、或时间戳等。

同时也努力伪装并融入环境中,黑客所使用的工具与二进制文件都会被更名,并存放在模仿机器既有程序或文件的文件夹中。而且要展开密集且连续性的手动键盘活动之前,黑客会先关闭事件记录功能,再于之后重新激活该功能。同样的,要进行可能被发现的网络侦察之前,黑客还会祭出特殊的防火墙规则,之后再将其删除。

此外,黑客绝不会在没准备之前就展开横向移动,会先分析目标主机上所执行的远程程序与服务,并决定只有在关闭特定安全服务之后才从事横向移动。微软也相信黑客刻意变更了时间戳,也使用了专业的清除程序,以让受害者更难发现或回复恶意组件。

在SolarWinds攻击行动曝光后,FireEye首席执行官Kevin Mandia即说这是一场拥有一流攻击能力的国家所发动的袭击,微软也认为,Sunburst背后的黑客既熟练又有条不紊,这群黑客遵循操作安全(OpSec)的最佳做法,尽量减少所留下的痕迹,保持低调,也避免被侦测。