マイクロソフトです。SolarWindsのハッカーたちは、このようにして長い間、攻撃を隠してきました。〜すべてがNになる〜

こんにちは、ZDNetからのプッシュです。

Microsoft: This is how the sneaky SolarWinds hackers hid their onward attacks for so long | ZDNet

　ソーラーウィンズのハッカーたちは、手で選んだターゲットをネットワーク上で発見されるのを避けるために、「苦心の計画」を立てています。

　SolarWindsのサプライチェーン攻撃の背後にいるハッカーは、高度な技術と忍耐力を持っていたことが知られています。しかし今、マイクロソフトのセキュリティ研究者は、政府機関のネットワークだけでなく、米国のトップサイバーセキュリティ企業のネットワークにおいても、ハッカーたちが長期間にわたって検出されないようにしていた運用セキュリティ（OpSec）技術と反フォレンジックトリックの一部を概説しました。

　MicrosoftとFireEyeは12月にSunburstまたはSolorigateマルウェアを検出しただけでしたが、Crowdstrikeは今月、ハッカーがSolarWindsの内部ネットワークに侵入した2019年9月に、別の関連マルウェア「Sunspot」が配備されたと報告しています。 他の関連マルウェアには、Teardrop aka Raindropが含まれています。

　※参考日本語記事

　Sunburstは、ダイナミックリンクライブラリ(DLL)と呼ばれるソフトウェアのコンポーネントで、SolarWindsのOrionインフラストラクチャ監視ソフトウェアに注入され、Orionを使用するネットワーク上にバックドアを作成しました。そのペイロードのいくつかには、Cobalt Strike侵入テストキット用のカスタムローダーが含まれていました。これらのローダーには、Teardropが含まれていました。

　また。ベストVPN - ベストセキュリティキー - ベストアンチウイルス

　"複雑なソロリゲート攻撃の連鎖に欠けている1つのリンクは、ソロリゲートDLLのバックドアからコバルト・ストライク・ローダーへの引き継ぎです。"とマイクロソフトのセキュリティ研究者は新しいブログ記事で述べています。

　"我々の調査では、攻撃者は検出を回避するために、これら2つのコンポーネントを可能な限り分離していることを確認するためにわざわざ行ったことを示しています。"

　攻撃者が2020年3月にOrionの顧客に広く配布された後、2020年6月にSolarWindsのソフトウェアビルド環境からSunburstのバックドアを削除したというSolarWindsの最近の開示を基に、Microsoftは、攻撃者（ほとんどの場合、ロシアで支援されている可能性が高い）が早ければ5月にも「実際のハンズオンキーボード活動」を開始していたと推測しています。

　また、マイクロソフトの研究者は、攻撃者が「犠牲者を選び、コバルト・ストライク独自のインプラントやコマンド・アンド・コントロール（C2）インフラストラクチャを準備するのに1ヶ月ほどを費やした」と推定しています。

　最初のバックドアは、18,000以上の政府機関や民間企業のネットワーク上にあった可能性がありますが、「ハンズオンキーボード」を使った活動が重要なターゲットの侵害につながり、その時点で、標的となる侵害されたネットワーク上での横移動に焦点が当てられました。

　マイクロソフトは、攻撃者が「発見されないようにするために、細部に至るまで綿密な計画を立てていた」ことを発見したと述べています。

攻撃者はまた、Cobalt Strikeインプラントを保護するために、Cobalt Strikeローダーの実行をSolarWindsプロセスから「可能な限り」分離しようとしました。

　"彼らの希望は、たとえ検出されてCobalt Strikeのインプラントを失ったとしても、侵害されたSolarWindsのバイナリと、それに先立つサプライチェーン攻撃が暴露されないことです。"とマイクロソフトは説明しています。

　攻撃者が使用したOpSecの方法の中には、漏洩したホストごとに共有されている漏洩の指標を方法論的に回避したり、アラームを鳴らさないように「極端な分散レベル」を行使したりすることが含まれています。

　"Cobalt Strike DLL の各インプラントは、マシンごとに固有のものを用意し、フォルダ名、ファイル名、エクスポート関数名、C2 ドメイン/IP、HTTP リクエスト、タイムスタンプ、ファイルのメタデータ、設定、および起動された子プロセスの重複や再利用を一切避けるようにしました。

　また、攻撃者はツールやバイナリの名前を変更して、マシン上にすでに存在するファイルやプログラムのように見えるフォルダに入れました。

　彼らは特定のプロトコルのために発信パッカーを最小限に抑えるために特別なファイアウォールのルールを用意し、偵察を終えた後にルールを削除したこともありました。

以上、DeepLで翻訳しました。