Microsoft แชร์วิธีแฮกเกอร์โจมตี SolarWinds และหลบเลี่ยงระบบตรวจจับ
ผู้เชี่ยวชาญ Microsoft 365 Defender Research Team, Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Cyber Defense Operations Center (CDOC) เปิดเผยรายละเอียดของกลุ่มแฮกเกอร์ที่เข้าโจมตีระบบ SolarWinds (ซอฟต์แวร์บริหารจัดการอุปกรณ์เครือข่ายรูปแบบหนึ่งที่หน่วยงานนิยมใช้กันอย่างแพร่หลาย) สามารถผ่านการตรวจจับระบบรักษาความปลอดภัยได้
การโจมตีเริ่มขึ้นในเดือนกุมภาพันธ์ปี 2020 ต่อเนื่องมาจนถึงปัจจุบัน โดยแฮกเกอร์เริ่มจากการใช้ SolarWinds DLL backdoor ในการ compromise network ของเป้าหมาย หลังจากนั้นทำการ custom Cobalt Strike และเลือกเป้าหมายเพื่อเริ่มโจมตีแบบ hands-on attack ในเดือนพฤษภาคมและเดือนต่อมา (มิถุนายน) แฮกเกอร์ได้ลบ backdoor generation และ compromised code จาก SolarWinds binary เพื่อโจมตีต่อในลักษณะ hands-on-keyboard โดยใช้ Cobalt Strike ซึ่งถือว่าเป็นการโจมตีอย่างต่อเนื่องยาวนานถึงปัจจุบัน
ทั้งหมดเป็นรายละเอียดจากทีมผู้เชี่ยวชาญ Microsoft ที่ค้นพบในระหว่างการสืบสวนเหตุการณ์โจมตี SolarWinds supply-chain attack โดยแฮกเกอร์ถูกติดตามในชื่อ StellarParticle(CrowdStrike), UNC2452(FireEye), SolarStorm(Palo Alto Unit 42) และ Dark Halo(Volexity)
สำหรับเทคนิคโจมตีที่ทีมผู้เชี่ยวชาญจาก Microsoft เปิดเผยมีรายละเอียดดังนี้
- ใช้ custom Cobalt Strike DLL บนเครื่องของผู้ใช้งานเพื่อหลบเลี่ยง IOC บนเครื่อง
- เปลี่ยนชื่อเครื่องมือและ binary ให้ตรงกับไฟล์บนเครื่องเพื่ออำพราง
- ปิดการใช้งาน event logging โดยใช้เครื่องมือ AUDITPOL ก่อน keyboard activity และ back afterward
- สร้าง Firewall rule เพื่อลด packet ขาออกสำหรับบาง protocol ในกิจกรรมที่มีการใช้ network ปริมาณมาก (จะลบออกหลังดำเนินการเหล่านี้เสร็จสิ้น)
- ปิด security service บนเครื่องเป้าหมายก่อน lateral movement
- คาดว่ามีการใช้ timestomping เพื่อเปลี่ยน timestamp บนระบบเป้าหมายเพื่อซ่อนการติดตั้ง malicious DLL
การเปิดเผยในครั้งนี้ ทีม Microsoft มองว่าเป็นเทคนิคการโจมตีที่น่าสนใจและน่าศึกษา เพราะผู้โจมตีมีทักษะ ความรู้เกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยเป็นอย่างดี จึงทำให้สามารถหลบเลี่ยงระบบตรวจจับได้ อย่างไรก็ตาม Microsoft จะหาวิธีเพื่อรับมือให้ได้โดยเร็วที่สุด เพื่อความปลอดภัยของผู้ใช้งาน
