بررسی این مسئله که تاثیر حملات جدید هکرها از طریق نرم افزار SolarWinds بر روی شرکت مایکروسافت Microsoft آن چگونه بوده و این کمپانی چه تحلیل از Backdoor تزریق شده به محصولات سولار ویندز دارد.

تاثیر حملات جدید هکرها از طریق SolarWinds بر روی مایکروسافت

در پی حملات اخیر هکرها از از طریق نرم افزار SolarWinds، مایکروسافت تصریح کرد که شبکه اش هک نشده است. امروز بسیاری از کانال ها و تعدادی از خبرگزاری ها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده است. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب نمود. مایکروسافت توضیح داده که مانند بقیه مشتریان SolarWinds ما به دنبال شاخص ‌هایی درباره عامل این حملات بودیم و می ‌توانیم این موضوع را تایید کنیم که باینری‌ های مخرب SolarWinds را در محیط مایکروسافت پیدا کرده‌ایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویس ‌ها و یا اطلاعات مشتریان خود پیدا نکرده ایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستم‌ های ما برای حمله به دیگران استفاده شده اند.

نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان Microsoft در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.

گزارش تحلیلی مایکروسافت از Backdoor تزریق شده به محصولات SolarWinds

مایکروسافت گزارش تحلیلی خود را از Backdoor تزریق شده به محصولات SolarWinds منتشر کرد و به طور دقیق به شرایطی که Backdoor برای اجرا شدن نیاز دارد، پرداخته است.

ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمی شود. این شرایط عبارتند از:

It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe

It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier

It delays execution by random amounts of time

:It verifies that the domain name of the current device meets the following conditions

The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknownThe domain must not contain “solarwinds”The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler

terms, it must not look like a test domain

It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)

It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)

It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)

It checks that the host “api.solarwinds.com” resolves to an expected IP address

هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمان هایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است.

برای دریافت اطلاعات بیشتر از حملات جدید مجرمان سایبری از طریق نرم افزار مایکروسافتی سولار ویندز مطلب خبر تکمیلی درباره حمله هکرها از طریق نرم افزار SolarWinds را بخوانید.