微软发布了关于Solarwinds攻击的深入资料,发现了极端的技巧和成熟度

微软Microsoft Edge插件网 4年前 (2021-01-21) 978次浏览 已收录 0个评论

Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入   持续更新!

这次,他们的帖子深入探讨了攻击者如何逃避检测并通过公司网络进行静默传播。

微软发布了关于Solarwinds攻击的深入资料,发现了极端的技巧和成熟度

Microsoft注意:

每个Cobalt Strike DLL植入物在每台机器上都是唯一的,并且避免了任何代价的重叠,并重复使用了文件夹名称,文件名称,导出功能名称,C2域/ IP,HTTP请求,时间戳,文件元数据,配置和启动的子进程。这种极端的差异水平也适用于不可执行的实体,例如WMI持久性过滤器名称,WMI过滤器查询,用于7-zip归档文件的密码以及输出日志文件的名称。

对每个受感染的计算机应用这种级别的排列是一项令人难以置信的工作,通常是其他对手所看不到的,并且可以防止完全识别网络中所有受感染的资产或在受害者之间有效共享威胁情报。

攻击者不仅勤奋,而且耐心。例如,他们避免检测的一种方法是首先枚举目标计算机上运行的远程进程和服务。然后,他们通过编辑目标计算机的注册表来禁用安全进程的自动启动,从而禁用特定的安全服务。然后,黑客在正常事件发生之前等待计算机重新启动,然后再进行攻击。

有些元素是平凡的,但仍然是天才,例如仅在工作时间内攻击系统,因此正常活动会掩盖它们。

微软指出:“复杂的攻击链和旷日持久的操作相结合,防御解决方案需要对攻击者的活动具有全面的跨域可见性,并提供数月的历史数据和强大的狩猎工具,以便尽可能早地进行调查。”

在此处阅读Microsoft的完整而详细的报告,其中还包括有关保护网络免受类似攻击的建议。

下载最新版Windows 11 Pro ISO文件:点击进入   持续更新原装纯净版Win11 

Edge插件网 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:微软发布了关于Solarwinds攻击的深入资料,发现了极端的技巧和成熟度
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址