Detección de la Puerta Trasera Sunburst: Ataque a la Cadena de Suministro de Solarwinds en FireEye y Agencias de EE. UU.

[post-views]
diciembre 14, 2020 · 4 min de lectura
Detección de la Puerta Trasera Sunburst: Ataque a la Cadena de Suministro de Solarwinds en FireEye y Agencias de EE. UU.

Sólo pocos días después de la información sobre el ataque a los datos de FireEye apareciera, la empresa publicó los resultados de su investigación y detalles del troyano Sunburst (incluyendo el informe técnico and contramedidas), a través del cual el grupo APT penetró en redes de múltiples organizaciones, y ahora las empresas potencialmente comprometidas pueden detectar rápidamente esta amenaza. La escala del ataque a la cadena de suministro detectado es verdaderamente impresionante: el grupo patrocinado por un estado comprometió a SolarWinds Inc. y troyanizó actualizaciones al software Orion IT que es utilizado por el ejército de los Estados Unidos y agencias gubernamentales, así como por más de 425 de las empresas de la lista Fortune 500 de EE.UU. Los adversarios firmaron digitalmente las actualizaciones y las publicaron en el sitio de actualizaciones de SolarWinds durante esta primavera, lo que dejó a una enorme cantidad de empresas en todo el mundo comprometidas (los productos de SolarWinds son utilizados por más de 300k clientes a nivel mundial).

CISA emitió Directiva de Emergencia para mitigar el compromiso de los productos de gestión de redes SolarWinds Orion advirtiendo sobre la posible amenaza que implica el uso de los productos de SolarWinds Orion para las redes de numerosas organizaciones en los sectores público y privado.

Análisis del Troyano Sunburst y Contenido de Detección

El troyano Sunburst se oculta en SolarWinds.Orion.Core.BusinessLayer.dll. Tras ingresar al sistema, el troyano espera hasta dos semanas y sólo entonces comienza su actividad dañina. El troyano es capaz de transferir y ejecutar archivos, perfilar el sistema, deshabilitar servicios del sistema y reiniciar la máquina. El troyano Sunburst utiliza el protocolo del Programa de Mejora de Orion y guarda los datos recopilados en archivos de configuración de complementos legítimos, lo que hace extremadamente difícil detectar la actividad de malware en la red de una organización.

Nuestro equipo de SOC Prime y en colaboración con desarrolladores del programa Threat Bounty lanzaron reglas Sigma basadas en las contramedidas de Sunburst que fueron publicadas por FireEye en GitHub para detectar el troyano Sunburst y herramientas relacionadas con este ataque. El artículo y la lista de reglas se actualizarán. Siga nuestro blog y consulte el mercado de detección de amenazas para las últimas reglas para la detección del troyano Sunburst y amenazas relacionadas para mantenerse actualizado. 

Aquí está la lista de reglas que están actualmente disponibles:

AD – Exportación de clave maestra ADFS DKM (vía sysmon)

AzureAD – Modificaciones de Token de Actualización del Servicio de Token de Seguridad (STS)

AD – Exportación de clave maestra ADFS DKM (a través de eventos de seguridad)

AzureAD – Usuario añadido a Grupos Privilegiados de Directorio Activo de Azure

Detector de Actividad del Actor de Amenazas Dark Halo [UNC2452]

Detector de Ataque a la Cadena de Suministro de SolarWinds

AzureAD – Añadir Permiso y Asignación de Rol para Leer Todo el Correo de Buzones

Detección de Confianza de Federación de Dominio Modificada de AzureAD

Aplicación de AzureAD Modificada para Permitir Acceso Multitenant

Solarwinds lanzando Powershell con codificación Base64 (a través de cmdline)

Solarwinds lanzando cmd.exe con echo (a través de cmdline)

Procesos del Adaptador ADFS iniciados (a través de cmdline)

CSRSS.exe iniciado desde ubicación inusual (posible imitación) (a través de cmdline)

ADFind Renombrado (a través de cmdline)

Detención Sospechosa del Servicio de Respaldo (a través de cmdline)

Cambio de Configuración de Importancia de AWS VPC Detectado
SolarWinds Solarigate Detectado (a través de pipe de nombre)
Nombre de host C2 del troyano Solarwinds detectado. (vía SSL)

Detecta posible actividad de APT DarkHalo (Operadores del troyano SunBurst) mediante la creación de archivo 7Zip para exfiltración de datos

Hash de Herramienta de Equipo Rojo de FireEye Detectado

Herramienta de Hackeo AndrewSpecial Detectada

Herramienta de Hackeo KeeFarce Detectada

Posible Actividad de Reconocimiento de Intercambio Dark Halo (a través de cmdline)

Nombre de host C2 del troyano Solarwinds detectado. (a través de DNS)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias