2021年1月20日，微軟發布了針對SolarWinds入侵事件的又一份深度調查報告，並且指出幕後攻擊者有著極其高超的黑客技巧和嫻熟度。在去年的攻擊中，SolarWinds因Orion IT管理軟件的封包服務器被惡意軟件感染，導致包括微軟在內的數以萬計的客戶，在部署更新後受到了不同程度的影響。

Solorigate攻擊的分步時間線（來自：Microsoft Security）

在這篇報告中，微軟主要深入探討了攻擊者是如何逃避檢測、並通過企業內網進行靜默傳播的。

首先，在每台機器上的Cobalt Strike 動態鏈接庫（DLL）植入都是唯一的，以避免惡意軟件自身被篩查到任何重複的痕跡。

其次，攻擊者重用了文件、文件夾、導出功能的名稱，輔以C2 域名/ IP、HTTP 請求、時間戳、文件元數據、配置、以及運行子進程。

Solorigate 一二階段攻擊的過渡示意

如此極端的差異化，同樣出現在了不可執行的部分，比如WMI 過濾查詢和持久性過濾器的名稱、用於7-zip 壓縮包的文檔密碼、以及輸出日誌文件的名稱。

想要對每台受感染的計算機執行如此細緻篩查，顯然是一項讓人難以置信的艱苦工作。但攻擊者就是通過這樣的手段，在很長一段時間內躲過了安全防護系統的檢測。

從Solorigate 後門到Cobalt Strike 攻擊的過渡示意

此外攻擊者不僅勤奮，還顯得相當具有耐心。比如為了避免被檢測到，它還會首先枚舉目標計算機上運行的遠程進程和服務。

接著通過編輯目標計算機的註冊表，以禁用特定安全服務進程的自動啟動。在切實的攻擊發起之前，惡意軟件會非常耐心地等待計算機重新啟動。

最後，微軟指出了Solorigate 攻擊者的其它聰明之處，比如僅在工作時間段內對系統發起攻擊，因為此時發生的正常活動會掩蓋他們的真實目的。

結合複雜的攻擊鍊和曠日持久的操作，安全防護系統也必須在持續數月的時間裡、對攻擊者的跨域活動有著全面的了解，輔以歷史數據和強大的分析工具，才能儘早地對異常狀況展開調查。