时间继续往前推,SolarWinds公司公告最后一个有问题的版本是持续到2020年6月发布的,也就是说攻击从2019年10月到2020年6月这个期间,并没有任何安全公司发现异常。
再来看看此次攻击的opsec手法,火眼和微软报告并没有给出攻击者的opsec细节,仅仅给出了有检测进程、服务的一句话描叙,这也仅仅是这个组织opsec对抗的一角,并不是全貌。
当然也有很多后知后觉的发现,根据外界的报告也还是能看出一二的,首先12月14日volexity公司也发出了一篇报告,其中在他们视野里关联发现了2020年6-7月针对客户Exchange邮件服务器的攻击,当然这也是马后炮,如果没有火眼的情报,Volexity也是睁眼瞎,这么大块APT捕获的肥肉犯不着滞后发,说明Volexity之前并没有任何情报可以串连到SolarWinds供应链事件。
然后是avsvmcloud.com这个C2,孤零零的挂着2019年7月19日的更新记录,而微软的接管时间是2020年12月14日,影响面这么大的攻击,如果这个攻击行动能早几个月发现,这个C2的接管时间会拖到一年后的12月么。
最后感慨一下,当美国拥有众多顶尖安全厂商,也只能眼睁睁看着众多核心机构被国家级APT组织入侵,跨越两个年度后才能被发现处理时,这并不是一个好消息,而是一个长鸣警钟。
本文始发于微信公众号(qz安全情报分析):SolarWinds事件八卦解读
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论