Windows 10 2021将有两次重要更新

然后，使用最新的防病毒产品扫描上述文件夹，并运行EDR以检测被恶意篡改的SolarWinds文件及其(潜在)异常行为。

3. 执行

T1569.002系统服务：服务执行

在该MITER ATT&CK技术中，对手将恶意软件作为Windows服务执行。在安装SolarWinds应用程序或更新的过程中，被篡改的DLL文件由合法SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe加载并作为Windows服务安装。

4. 驻留

T1543.003创建或修改系统：Windows服务

作为驻留(持久性)的一部分，攻击者可以创建或更改Windows服务以重复执行恶意有效负载。Windows启动时，恶意代码将作为服务启动。修改后的DLL加载的TEARDROP恶意软件将作为服务在后台运行。

5. 特权提升

T1078有效账户

使用这种MITER ATT&CK技术攻击者可以获取并滥用合法凭据来获得初始访问权、驻留、特权提升、防御逃避或横向移动。攻击者在此攻击活动中使用多个有效帐户进行横向移动。

6. 防御逃避

(1) T1553.002破坏信任控制：代码签名

要想绕过应用控制技术，攻击者通过创建、获取或窃取代码签名材料来帮恶意软件获取有效的签名。

在SolarWinds事件中，攻击者破坏了SolarWinds的数字证书。

请移除受损的SolarWinds证书：

• “Signer”：“Solarwinds Worldwide LLC”
• “SignerHash”：“47d92d49e6f7f296260da1af355f941eb25360c4”

(2) T1036.005 伪装：匹配合法名称或位置

作为一种防御规避技术，对手可以通过合法和可信的方式更改其恶意工件的功能。这些功能的一些示例包括代码签名、恶意软件文件的名称和位置，任务和服务的名称。伪装后，攻击者的恶意工件(如恶意软件文件)对用户和安全控件而言都是合法的。

根据FireEye的报告，SolarWinds漏洞的攻击者使用在受害者环境中找到的合法主机名作为其Command and Control(C2)基础结构上的主机名，以避免被检测到。此外，该恶意软件将其C2流量伪装成Orion Improvement Program(OIP)协议。

(3) T1036.003 伪装：重命名系统工具程序

为了避免基于名称的检测，对手可以重命名系统工具程序。此外，攻击者用其替换合法的实用程序，执行其有效负载，然后恢复合法的原始文件。

(4) T1036.004伪装：伪装任务或服务

对手将任务/服务的名称伪装成合法任务/服务的名称，以使其看起来是良性的，从而逃避了检测。攻击者常使用与Windows Task Scheduler(在Linux和Windows中)中运行的合法Windows和Linux系统服务名称类似或一致的服务。

(5) T1497.003虚拟化/沙盒逃避：基于时间的逃避

攻击者采用各种基于时间的规避方法，例如在初始执行时延迟恶意软件的功能，以避免虚拟化和分析环境。在Solarwinds事件中，攻击者在安装后延迟两周内才启动命令和控制通信。

(6) T1027.003 文件或信息混淆：隐写术

在这种MITER ATT&CK技术中，攻击者将数据隐藏在数字媒体中，例如图像、音频、视频和文本来逃避检测。SolarWinds漏洞中使用的TEARDROP恶意软件从文件gracious_truth.jpg中读取了恶意负载。

（编辑：烟台站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!