微软对SolarWinds黑客释放了“死亡之星”,反应异常出色

2020-12-17 13:30:21

“现在见证这个全副武装且可作战的战斗所的火力。” –帕尔帕廷皇帝,绝地归来

微软本周采取了一系列重大措施来应对最近的SolarWinds供应链攻击。在行动的规模,速度和范围方面,微软提醒世界,它仍然可以像其他人一样集结火力,成为永远压倒一切的力量。

经过四天的四个步骤,Microsoft加强了其法律团队的力量和对Windows操作系统的控制,几乎消除了一些最复杂的攻击性黑客的行为。在这种情况下,对手被认为是APT29,又名“舒适熊”,许多人认为与俄罗斯情报有关,并且最著名的是在2016年对民主党全国委员会(DNC)进行黑客攻击。

尽管细节不断涌现,但SolarWinds供应链攻击已经是最近记忆中最重要的攻击。据SolarWinds,Microsoft,FireEye和网络安全与基础架构安全机构(CISA)称,攻击者破坏了用于为SolarWinds Orion Platform构建更新的服务器,该平台用于IT基础架构管理。攻击者使用此受损的构建服务器将后门恶意软件插入产品(Microsoft称为Solorigate或FireEye称为SUNBURST)。

据SolarWinds称,此恶意软件在2020年3月至2020年6月的更新中以特洛伊木马的形式存在。这意味着下载该特洛伊木马更新的所有客户也都获得了该恶意软件。尽管并非所有获得该恶意软件的客户都已看到该恶意软件用于攻击,但已利用该恶意软件对一些具有战略意义且敏感的组织的网络进行了更广泛的攻击。

被攻击者包括FireEye,美国财政部,美国商务部国家电信和信息管理局(NTIA),卫生部国家卫生研究院(NIH),网络安全和基础设施局(CISA),国土安全部(DHS)和美国国务院。

每个处理此案的人都直接谈到了攻击的复杂性。受害者的广度,战略重要性和安全专门知识证明了这一点。虽然几乎每一次攻击都被试图使自己免受批评的受害者称为“老练”,但安全界几乎一致认为,在这种情况下应该使用该术语。

微软回应的速度,范围和规模是空前的。具体来说,微软在四天内完成了四项工作,有效地破坏了攻击者的工作。

1)在12月13日这一天公开,微软宣布已删除Trojaned文件使用的数字证书。这些数字证书使Microsoft Windows系统可以相信那些受到破坏的文件是可信任的。在此举动中,微软实际上在一夜之间告诉所有Windows系统,不要再信任那些受到破坏的文件,这可能会阻止它们的使用。

2)当天,Microsoft宣布将更新Microsoft Windows Defender(Windows内置的反恶意软件功能),以检测并警告它是否在系统上找到Trojaned文件。

3)接下来,在12月15日(星期二),微软和其他公司转移到了“恶意软件”用于命令和控制(C2)的域之一:avsvmcloud [。] com。 SInkholing是一种剥夺攻击者对恶意软件的控制权的法律和技术策略。在Sinkholing中,像Microsoft这样的组织向法院起诉,要求控制其用于恶意目的的域的控制权,使其远离当前的持有者攻击者。

成功后,组织可以使用对该域的所有权来切断攻击者对恶意软件和恶意软件所控制系统的控制。 Sinkholed域还可以用于帮助识别受感染的系统:当恶意软件到达Sinkholed域以获取指示时,新所有者可以识别这些系统并尝试查找并警告所有者。 Sinkholing是一种策略,最初在2008-2009年与Conficker的战斗中用于大规模攻击,多年来一直是Microsoft工具包中的标准策略,包括最近针对TrickBot的策略。

4)最后,今天,12月16日,星期三,Microsoft将Windows Defender对Solorigate的默认操作从“警报”更改为“隔离”,基本上将其移相器从“眩晕”更改为“杀死”,这可能会导致系统崩溃。但会在发现恶意软件后有效地将其杀死。这项行动也很重要,因为它已授予其他安全公司许可以跟进这一艰巨的步骤:Microsoft的规模和平台领导地位为其他安全公司提供了掩盖之所。

综上所述,这些步骤等于微软首先中和然后杀死恶意软件,同时从攻击者手中夺取了对恶意软件基础结构的控制权。到本周末,攻击者将只剩下受其控制的系统的一小部分。

他们可能仍然可以通过其他方式访问受感染的网络:这就是事件响应者现在可能正在采取的措施。而且,当渗透数月未被注意时,他们所做的一切也无济于事。但是,尽管如此,这些行动加在一起却几乎消除了我们所看到的攻击,由于攻击者的可能,这一点尤为明显。

最后,这一切都提醒我们微软拥有多少权力。在控制Windows操作系统,强大的法律团队以及其在业界中的地位之间,它有权在几乎一夜之间改变世界。当它选择在对手身上训练这种力量时,它的确相当于死亡之星:能够在一次爆炸中彻底摧毁一颗行星。

幸运的是,这些天来,Microsoft在使用其功能方面有所节制。但是,正如我之前指出的那样,我们绝对不应将微软的温柔视为弱点。

无论如何,如果您有时(永久)不使用它,那么拥有一颗死亡之星又有什么意义呢?