以下是SolarWinds黑客如何在足够长的时间内不被发现

周三，随着网络安全公司致力于“更清晰地了解”最近历史上最复杂的攻击之一，微软分享了有关SolarWinds黑客背后的攻击者采取的战术、技术和程序（TTP）的更多细节，以保持在雷达之下并避免被发现。

该公司称该威胁行为人是“遵循操作安全（OpSec）最佳实践的熟练且有条不紊的操作人员”，并称攻击者不遗余力地确保最初的后门（Sunburst又名Solorigate）和妥协后的植入物（泪滴和雨滴）尽可能地分开，以阻碍进行攻击的努力发现他们的恶意活动。

来自微软365 Defender研究团队、微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）和微软网络防御行动中心（Microsoft Cyber Defense Operations Center，CDOC）的研究人员说：“Solorigate背后的攻击者都是熟练的战役操作人员，他们精心策划并执行了这次攻击，在保持持久性的同时保持着难以捉摸的状态。”。

虽然被追踪的StellarParticle（CrowdStrike）、UNC2452（FireEye）、SolarStorm（帕洛阿尔托42号机组）和Dark Halo（Volexity）等组织的确切身份目前尚不清楚，但美国政府本月早些时候正式将间谍活动与一个可能来自俄罗斯的组织联系起来。

各种各样的策略来保持不被发现

微软的攻击时间表显示，功能齐全的Sunburst DLL后门于2月20日编译并部署到SolarWinds的猎户座平台上，随后在3月底的某个时候以篡改更新的形式分发。

一个近两个月的侦察期，以确定其目标—；需要秘密坚持才能不被发现并收集有价值的信息—；最终为5月在选定的受害者网络上部署钴打击植入物以及6月4日从SolarWinds build environment移除Sunburst铺平了道路。

但是，关于如何以及何时发生从太阳暴流到雨滴的转变的答案几乎没有给出明确的线索，即使攻击者似乎故意将钴打击装载机的执行与太阳风过程分开，作为OpSec的一项措施。

其想法是，如果在目标网络上发现钴打击植入物，就不会泄露受损的SolarWinds二进制文件以及导致其部署的供应链攻击。

调查结果还表明，虽然黑客依赖一系列攻击载体，但特洛伊木马化的SolarWinds软件构成了间谍行动的核心：

• 通过在每个系统上部署自定义的DLL植入，有条不紊地避免每个受损主机的共享指示器
• 伪装恶意工具和二进制文件，以模仿受损机器上已有的文件和程序
• 在动手操作键盘活动之前使用AUDITPOL禁用事件日志记录，并在完成后重新启用
• 在运行嘈杂的网络枚举活动之前，创建特殊的防火墙规则以最小化某些协议的传出数据包，这些活动在网络调查之后被删除
• 仅在目标主机上禁用安全服务后执行横向移动活动
• 据称使用分时扫描来更改工件的时间戳，并利用擦除过程和工具来防止发现恶意DLL植入

采取零信任心态

“这次攻击既复杂又普通，”微软说。“该演员在用于渗透、扩展和维持受影响基础设施的战术方面表现出了高超的技巧，但许多战术、技术和程序（TTP）都很普通。”

为了在未来防止此类攻击，该公司建议各组织采取“零信任心态”，通过启用多因素身份验证实现最低特权访问，并将风险降至最低。

“通过Solorigate，攻击者利用了广泛的角色分配、超出角色要求的权限，在某些情况下还放弃了本应完全没有权限的帐户和应用程序，”微软身份安全总监Alex Weinert说。