13 декабря 2020 года несколько поставщиков, такие как FireEye и Microsoft сообщали о новых угрозах, исходящих от государственного злоумышленника, скомпрометировавшего SolarWinds, и троянизировали обновления бизнес-программного обеспечения SolarWinds Orion для распространения вредоносного ПО под названием SUNBURST. Из-за популярности SolarWinds от атак пострадали несколько государственных учреждений и многие компании из списка Fortune 500. Это также появилось в недавнем Директива CISA по чрезвычайным ситуациям 20-01.
Мы проанализировали декодированные домены DGA из SUNBURST и обнаружили 165 уникальных доменов, на которые повлияло вредоносное ПО. Некоторые из них могут быть жертвами, а некоторые из них могут быть связаны с обнаружением или анализом безопасности, например с песочницей. Мы обнаружили, что затронутые домены охватывают различные типы организаций (включая информационные технологии, государственное управление, образование, финансы и страхование и т. Д.) И принадлежат 25 различным странам (охватывающим все континенты, кроме Антарктиды).
1.0 Введение в компромисс цепочки поставок SolarWinds Orion
Как упоминалось в отчете FireEye, SolarWinds может подвергнуться атаке со стороны национального государства. Но какой из них остается загадкой. Некоторые новостные статьи Предполагается, что это связано с APT29 или Cozy Bear, российской хакерской группировкой, и подробные доказательства не раскрываются.
По оценкам Сохранить, Исследователь безопасности Винот Кумар обнаружил, что пароль, принадлежащий серверу обновлений SolarWinds, просочился в Github с 2018 года. Неясно, использовали ли злоумышленники слабый пароль в атаках, но это свидетельствует о слабости системы безопасности SolarWinds.
В отчет подан SolarWinds По словам SEC, электронные письма SolarWinds через Office 365 могли быть скомпрометированы и «могли предоставлять доступ к другим данным, содержащимся в офисных инструментах компании».
SolarWinds заявили, что 18,000 из ее известных клиентов могли установить испорченную версию ее продуктов Orion.
2.0 Алгоритм SUNBURST DGA и связь
На сетевом уровне наиболее очевидными IOC, связанными с SUNBURST, являются домены, используемые в канале C2 (Command and Control). Он имеет четкий шаблон и имитирует имена облачных хостов, например, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, домен DGA (алгоритм генерации домена).
Отчеты FireEye и Microsoft одними из первых предоставляют технические подробности о вредоносной программе бэкдора SUNBURST. Оттуда мы знаем, что злоумышленники внедрили вредоносное обновление SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Внутри обновления вредоносный компонент SolarWinds.Orion.Core.BusinessLayer.dll.
Анализируя этот двоичный файл .NET DLL, различные исследовательские группы (RedDrip и Превазио) раскрыл некоторые подробности того, как кодируются домены DGA. Общая мудрость показывает, что домены следуют структуре:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
$ {регион} находится в одном из четырех значений:
- Me-West-1
- сша-запад-2
- сша-восток-1
- сша-восток-2
$ {GUID} часть происходит из хэша информации на уровне хоста, поэтому ее нелегко отменить.
$ {Encoded_AD_domain} наиболее интересно, соответствующее значение открытого текста показывает, к какому домену принадлежит машина через вызов .NET API:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
По сути, API возвращает имя домена Windows. Благодаря этому мы можем узнать, какой компании принадлежит машина.
2.1 Декодирование закодированных доменов AD
Мы используем результаты исследования RedDrip и Превазио, об алгоритмах декодирования для восстановления $ {Encoded_AD_domain}. По сути, злоумышленник использует две разные функции декодирования: одна - это настраиваемая функция BASE32_decode, а другая - более настраиваемый шифр замены букв, когда в доменном имени есть только нижний регистр плюс [0_-.]
3.0 Анализ зараженных доменов
По оценкам Новости CRN, SolarWinds заявила, что ее клиентами были 425 компаний из списка Fortune 500 США, десять крупнейших телекоммуникационных компаний США, пять ведущих бухгалтерских фирм США, все подразделения Вооруженных сил США, Пентагон, Государственный департамент, а также сотни университетов и колледжей. по всему миру.
Чтобы проанализировать зараженные домены при атаке SUNBURST Backdoor, мы собрали наблюдаемые имена хостов для доменов DGA из нескольких источников. Один из основных источников находится в Github предоставляемые Бамбенек Консалтинг, а другой важный источник - в Вставить корзину получены из Zetalytics / Зонкранчер.
Путем подачи закодированных доменов DGA в сценарий декодирования мы получили список декодированных доменных имен, которые могли быть сгенерированы жертвами бэкдорной атаки SUNBURST. После этого мы предприняли попытку вручную сопоставить декодированные доменные имена с названиями компаний / организаций через поиск Google. Нам удалось сопоставить 165 декодированных доменных имен с названием компании / организации.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ : Не было проверено, что все декодированные домены являются действительными доменами Windows и действительно принадлежат жертвам. Он во многом основан на человеческом суждении. Наша форма ручного сопоставления декодированных доменных имен с названиями их компаний / организаций может быть неточной.
3.1 Распределение жертв по отраслям
Мы заметили, что компании / организации-жертвы относятся к разным отраслям. Мы классифицировали их по разным категориям на основе НАИКС (Североамериканская система отраслевой классификации) из Бюро переписи населения США. Их распределение по категориям показано на рисунке 1. Из имеющихся у нас выборок ИТ-компании, государственное управление (например, правительство) и образовательные службы (например, университеты) больше всего пострадали от бэкдорной атаки SUNBURST.
Рисунок 1: Распределение жертв по отраслям.
3.2 Распределение жертв по странам
Мы заметили, что компании / организации-жертвы принадлежат 25 различным странам. Их распределение по континентам показано на Рисунке 2. Воздействие атаки распространяется на весь мир.
Рисунок 2: Распределение жертв по континентам.
Страны с наибольшим количеством жертв:
| Имя страны | Количество жертв |
| США | 110 |
| Канада | 13 |
| Израиль | 5 |
| Дания | 5 |
| Австралия | 4 |
| Великобритания | 4 |
Защита от солнечного взрыва 4.0 с помощью Stellar Cyber Open XDR Платформа
Хотя SUNBURST является скрытой и изощренной угрозой, он оставляет важные следы, позволяющие идентифицировать себя.
Во-первых, для предприятий важно хранить артефакты и трассировки своих сетей в системе безопасности. озеро данных такие, как Open XDR Платформа от Stellar Cyber. Когда становится известно об атаке, предприятия по всему миру могут быстро сопоставить индикаторы с историческими данными, чтобы определить, произошла ли утечка данных. Для сложных угроз, таких как SUNBURST, домены управления и контроля (C2) и IP-адреса обычно являются сильными сигналами. В частности, для SUNBURST домен C2 имеет следующую структуру: avsvmcloud.com. Предприятиям необходимо развернуть хорошее решение NTA (NDR), способное регистрировать важные метаданные из трафика DNS и других важных протоколов приложений L7. Прием данных через журналы DNS также полезен, но он может не захватывать сигналы, если злоумышленник использует общедоступный DNS, такой как Google DNS (8.8.8.8) и т. Д. Более того, с расширенным обнаружением DGA и обнаружением других аномалий сетевого уровня от Stellar Cyber, предприятия могут раньше обнаружить неизвестные подозрительные сигналы.
Во-вторых, телеметрические данные конечных точек EDR также очень важны и полезны, наряду с сигналами сетевого уровня. Open XDR С помощью платформы Stellar Cyber предприятия могут выявлять подозрительные перемещения внутри компании и обнаруживать вредоносное ПО типа SUNBURST как посредством анализа угроз, так и путем выявления неизвестных подозрительных действий. Платформа Stellar Cyber может хранить и сопоставлять сигналы из множества источников данных и имеет средства обнаружения на основе машинного обучения для выявления неизвестных подозрительных действий.
5.0 Выводы
В этом блоге мы поделились некоторыми подсказками о том, как SolarWinds был взломан, и проанализировали данные домена DGA, показали исследование данных по затронутым доменам, а также представили некоторые предложения по защите.
