Juste quelques jours après l’information concernant la violation de données de FireEye apparue, l’entreprise a publié les résultats de son enquête et les détails du cheval de Troie Sunburst (y compris le rapport technique and contre-mesures), par lequel le groupe APT a pénétré les réseaux de plusieurs organisations, et maintenant les entreprises potentiellement compromises peuvent rapidement détecter cette menace. L’ampleur de l’attaque de la chaîne d’approvisionnement détectée est vraiment impressionnante : le groupe parrainé par l’État a compromis SolarWinds Inc. et trojanisé les mises à jour du logiciel Orion IT utilisé par l’armée américaine et les agences gouvernementales, ainsi que par 425+ des Fortune 500 américains. Les adversaires ont signé numériquement les mises à jour et les ont publiées sur le site des mises à jour de SolarWinds au printemps dernier, ce qui a laissé un grand nombre d’entreprises dans le monde compromis (les produits de SolarWinds sont utilisés par plus de 300 000 clients dans le monde).
La CISA a publié une directive d’urgence pour atténuer la compromission des produits de gestion de réseau SolarWinds Orion, avertissant de la menace potentielle posée par l’utilisation des produits SolarWinds Orion dans les réseaux de nombreuses organisations des secteurs publics et privés.
Analyse du Cheval de Troie Sunburst et Contenu de Détection
Le cheval de Troie Sunburst se cache dans SolarWinds.Orion.Core.BusinessLayer.dll. Après s’être introduit dans le système, le cheval de Troie attend jusqu’à deux semaines avant de commencer son activité nuisible. Il est capable de transférer et d’exécuter des fichiers, de profiler le système, de désactiver les services du système, et de redémarrer la machine. Le cheval de Troie Sunburst utilise le protocole du Programme d’Amélioration Orion et enregistre les données collectées dans des fichiers de configuration de plugins légitimes, rendant extrêmement difficile la détection de l’activité malveillante dans le réseau d’une organisation.
Notre équipe SOC Prime et en collaboration avec les développeurs du programme Threat Bounty ont publié des règles Sigma basées sur les contre-mesures Sunburst publiées par FireEye sur GitHub pour détecter le cheval de Troie Sunburst et les outils liés à cette attaque. L’article et la liste des règles seront mis à jour. Suivez notre blog et consultez le Threat Detection Marketplace pour les dernières règles de détection du cheval de Troie Sunburst et des menaces associées pour rester à jour.
Voici la liste des règles actuellement disponibles :
|
|
|
Activité possible de reconnaissance sur Exchange par Dark Halo (via ligne de commande) |
|
|
Nom d’hôte C2 du cheval de Troie Solarwinds détecté. (via DNS) |
