Sunburst-Hintertür-Erkennung: SolarWinds-Lieferkettenangriff auf FireEye und US-Behörden

Nur wenige Tage nachdem die Informationen über den FireEye-Datenverstoß erschienen waren, veröffentlichte das Unternehmen die Ergebnisse seiner Untersuchung und Details zu dem Sunburst-Backdoor (einschließlich des technischen Berichts and Gegenmaßnahmen), durch die die APT-Gruppe in Netzwerke mehrerer Organisationen eindrang, und nun können potenziell kompromittierte Unternehmen diese Bedrohung schnell erkennen. Das Ausmaß des erkannten Supply-Chain-Angriffs ist wirklich beeindruckend: Die staatlich gesponserte Gruppe kompromittierte SolarWinds Inc. und verseuchte Updates für Orion IT-Software, die vom US-Militär und Regierungsbehörden sowie von 425+ der Fortune 500-Unternehmen in den USA genutzt wird. Die Gegner digital signierten die Updates und stellten sie im Frühjahr auf der SolarWinds-Update-Website ein, was dazu führte, dass weltweit eine große Anzahl von Unternehmen kompromittiert wurde (Produkte von SolarWinds werden von 300k+ Kunden weltweit verwendet).

CISA veröffentlichte Emergency Directive zur Abschwächung des Kompromisses von SolarWinds Orion Network Management Products, das vor der potenziellen Bedrohung warnt, die durch die Verwendung von SolarWinds Orion-Produkten für Netzwerke zahlreicher Organisationen im öffentlichen und privaten Sektor entsteht.

Analyse des Sunburst-Backdoors und Erkennungsinhalt

Der Sunburst-Backdoor versteckt sich in SolarWinds.Orion.Core.BusinessLayer.dll. Nachdem er in das System eingedrungen ist, wartet der Backdoor bis zu zwei Wochen und beginnt erst dann seine schädliche Aktivität. Der Backdoor ist in der Lage, Dateien zu übertragen und auszuführen, das System zu profilieren, Systemdienste zu deaktivieren und die Maschine neu zu starten. Der Sunburst-Backdoor nutzt das Orion Improvement Program-Protokoll und speichert gesammelte Daten in legitimen Plugin-Konfigurationsdateien, was es extrem schwierig macht, Malware-Aktivitäten im Netzwerk einer Organisation zu erkennen.

Unser SOC Prime Team und in Zusammenarbeit mit den Entwicklern des Threat Bounty Program veröffentlichten Sigma-Regeln basierend auf Sunburst-Gegenmaßnahmen, die von FireEye auf GitHub veröffentlicht wurden, um den Sunburst-Backdoor und damit zusammenhängende Werkzeuge zu erkennen. Der Artikel und die Liste der Regeln werden aktualisiert. Folgen Sie unserem Blog und schauen Sie sich den Threat Detection Marketplace an, um die neuesten Regeln zur Erkennung des Sunburst-Backdoors und verwandter Bedrohungen zu finden, um auf dem Laufenden zu bleiben.

Hier ist die Liste der derzeit verfügbaren Regeln: