Microsoft explicó recientemente con mayor profundidad cómo tuvo lugar el ciberataque SolarWinds, detallando la segunda fase del ataque y los tipos de malware en uso.

Para un ataque con tantos objetivos de alto perfil como SolarWinds, todavía hay muchas preguntas que necesitan respuesta. El informe de Microsoft revela un tesoro de nueva información sobre el ataque, que cubre el período posterior a que los atacantes dejaron caer la puerta trasera de Sunburst.

Microsoft detalla la segunda fase del ciberataque de SolarWinds

los Seguridad de Microsoft El blog ofrece una mirada a "El vínculo perdido", el período desde el que la puerta trasera Sunburst (conocida como Solorigate de Microsoft) fue instalado en SolarWinds para la implantación de varios tipos de malware dentro de la víctima redes.

Como ya sabemos, SolarWinds es uno de los "ataques de intrusión más sofisticados y prolongados de la década" y que el los atacantes "son operadores de campaña hábiles que planificaron y ejecutaron cuidadosamente el ataque, permaneciendo esquivos mientras se mantenían persistencia."

instagram viewer

El blog de seguridad de Microsoft confirma que la puerta trasera Sunburst original se compiló en febrero de 2020 y se distribuyó en marzo. Luego, los atacantes eliminaron la puerta trasera Sunburst del entorno de construcción SolarWinds en junio de 2020. Puede seguir la línea de tiempo completa en la siguiente imagen.

Microsoft cree que los atacantes pasaron tiempo preparando y distribuyendo implantes Cobalt Strike únicos y personalizados. y la infraestructura de comando y control, y la "actividad real de manos en el teclado probablemente comenzó ya en mayo".

La eliminación de la función de puerta trasera de SolarWinds significa que los atacantes habían pasado de requerir acceso de puerta trasera a través del proveedor a acceso directo a las redes de la víctima. Eliminar la puerta trasera del entorno de compilación fue un paso para disfrazar cualquier actividad maliciosa.

Relacionado: Microsoft revela el objetivo real del ciberataque de SolarWinds

Microsoft revela el objetivo real del ciberataque de SolarWinds

Entrar en la red de la víctima no fue el único objetivo del ataque.

A partir de ahí, el atacante hizo todo lo posible para evitar la detección y distanciar cada parte del ataque. Parte del razonamiento detrás de esto fue que incluso si se descubría y eliminaba el implante de malware Cobalt Strike, la puerta trasera de SolarWinds seguía siendo accesible.

El proceso de anti-detección implicó:

  • Implementación de implantes Cobalt Strike únicos en cada máquina
  • Siempre desactivando los servicios de seguridad en las máquinas antes de continuar con el movimiento lateral de la red
  • Limpiar registros y marcas de tiempo para borrar huellas, e incluso ir tan lejos como para deshabilitar el registro durante un período para completar una tarea antes de volver a encenderlo.
  • Hacer coincidir todos los nombres de archivos y carpetas para ayudar a camuflar los paquetes maliciosos en el sistema de la víctima
  • Usar reglas de firewall especiales para ocultar los paquetes salientes de procesos maliciosos y luego eliminar las reglas cuando haya terminado

El blog de seguridad de Microsoft explora la gama de técnicas con mucho más detalle, con una sección interesante que analiza algunos de los métodos anti-detección verdaderamente novedosos que utilizaron los atacantes.

SolarWinds es uno de los hacks más sofisticados jamás vistos

Hay pocas dudas en la mente de los equipos de seguridad y respuesta de Microsoft de que SolarWinds es uno de los ataques más avanzados de la historia.

La combinación de una compleja cadena de ataque y una operación prolongada significa que las soluciones defensivas deben tener visibilidad entre dominios de la actividad de los atacantes y proporciona meses de datos históricos con potentes herramientas de búsqueda para investigar desde hace mucho tiempo según sea necesario.

También podría haber más víctimas por venir. Recientemente informamos que los especialistas en antimalware Malwarebytes también fueron blanco del ciberataque, aunque los atacantes utilizaron un método de entrada diferente para obtener acceso a su red.

Relacionado: Malwarebytes, la última víctima del ciberataque de SolarWinds

Dado el alcance entre la comprensión inicial de que se había producido un ciberataque tan enorme y la variedad de objetivos y víctimas, aún podría haber más empresas tecnológicas importantes para dar un paso adelante.

Microsoft emitió una serie de parches destinados a reducir el riesgo de SolarWinds y los tipos de malware asociados en su Martes de parches de enero de 2021. Los parches, que ya se han implementado, mitigan una vulnerabilidad de día cero que Microsoft cree que se vincula con el ciberataque de SolarWinds y que estaba bajo explotación activa en la naturaleza.

Correo electrónico
¿Qué es un truco de la cadena de suministro y cómo puede mantenerse a salvo?

¿No puedes atravesar la puerta principal? En su lugar, ataque la red de la cadena de suministro. Así es como funcionan estos trucos.

Temas relacionados
  • Seguridad
  • Noticias tecnológicas
  • Microsoft
  • Software malicioso
  • Puerta trasera
Sobre el Autor
Gavin Phillips (709 Artículos publicados)

Gavin es el editor junior de Windows and Technology Explained, un colaborador habitual del Really Useful Podcast, y fue el editor del sitio hermano de MakeUseOf centrado en cripto, Blocks Decoded. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.

Más de Gavin Phillips

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Un paso más…!

Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.

.