導讀	微軟近日發布了一份報告，詳細說明了對IT管理解決方案公司SolarWinds進行攻擊的威脅參與者的活動和方法，包括其惡意軟件傳遞方法，反取證行為和操作安全性（OPSEC）。

某些人認為是俄羅斯贊助的攻擊者，在2019年破壞了SolarWinds的系統，并使用一種名為Sundrop的惡意軟件在Sun公司的Orion產品中插入了被追蹤為Sunburst的后門。Sunburst已交付給成千上萬的組織，但是使攻擊者產生興趣的幾百名受害者收到了其他幾款惡意軟件，其許多系統都使用了手動鍵盤技術而受到威脅。在這些受害者的情況下，黑客使用了名為Teardrop和Raindrop的裝載機來運送Cobalt Strike有效載荷。

微軟在最新的SolarWinds攻擊報告中（作為Solorigate進行了跟蹤），解釋了攻擊者如何從Sunburst惡意軟件轉移到Cobalt Strike加載程序，以及他們如何使組件盡可能地分開以避免被檢測到。微軟說：“我們從Microsoft 365 Defender數據的狩獵練習中發現的信息進一步證實了攻擊者的高水平技能以及為避免發現而進行的詳盡計劃。”，微軟強調了黑客使用的一些更有趣的OPSEC和反取證方法。一種技術涉及確保每臺受感染的計算機具有唯一的指示符，例如不同的Cobalt Strike DLL植入，文件夾和文件名，C＆C域和IP，HTTP請求，文件元數據和啟動的進程。微軟指出：“為每臺受感染的計算機應用這種級別的排列是一項令人難以置信的努力，通常是其他對手所看不到的，并且可以防止完全識別網絡中的所有受感染資產或在受害者之間有效共享威脅情報。”

攻擊者還重命名了他們的工具，并將其放置在文件夾中，以使其看起來盡可能合法。Microsoft列出的其他操作和活動包括以下內容：在進行密集且持續的動手鍵盤活動之前，攻擊者需要使用AUDITPOL禁用事件日志記錄，然后再重新啟用它。以類似的方式，在運行嘈雜的網絡枚舉活動（例如重復的NSLOOKUP或LDAP查詢）之前，攻擊者精心準備了特殊的防火墻規則，以最大程度地減少某些協議的傳出數據包。在完成網絡偵察之后，還有條不紊地刪除了防火墻規則。未經準備，就永遠不會進行橫向運動。為了增加其活動未被檢測到的可能性，攻擊者首先枚舉了在目標主機上運行的遠程進程和服務，并決定僅在禁用某些安全服務之后才橫向移動。

我們相信，攻擊者使用時間戳記來更改工件的時間戳記，并且還利用專業的擦除程序和工具來復雜化從受影響環境中查找和恢復DLL植入物的過程。雖然在MITER ATT＆CK框架中已經記錄了攻擊者利用的許多戰術，技術和程序（TTP），但微軟表示正在與MITER合作，以確保將在這些攻擊中觀察到的新技術也添加到該框架中。

網絡安全公司和研究人員繼續分析SolarWinds黑客的活動。FireEye本周發布了一份白皮書，詳細介紹了SolarWinds黑客針對Microsoft 365環境使用的TTP。

網絡安全公司Malwarebytes本周透露，SolarWinds黑客也將其作為目標-不是通過SolarWinds軟件，而是通過濫用具有對Microsoft 365和Azure環境的特權訪問的應用程序。更多Linux資訊請查看：https://www.linuxprobe.com

總結

以上是生活随笔為你收集整理的Microsoft详细介绍了OPSEC，SolarWinds黑客使用的取证技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。