Rilevamento della Backdoor Sunburst: Attacco alla Catena di Fornitura Solarwinds su FireEye e Agenzie Statunitensi

[post-views]
Dicembre 14, 2020 · 4 min di lettura
Rilevamento della Backdoor Sunburst: Attacco alla Catena di Fornitura Solarwinds su FireEye e Agenzie Statunitensi

Solo pochi giorni dopo la diffusione delle informazioni riguardanti il data breach di FireEye è apparsa, l’azienda ha pubblicato i risultati della sua indagine e i dettagli sul backdoor Sunburst (incluso il rapporto tecnico and contromisure), attraverso il quale il gruppo APT ha penetrato le reti di molte organizzazioni e ora le aziende potenzialmente compromesse possono rilevare rapidamente questa minaccia. La scala dell’attacco alla supply chain rilevato è davvero impressionante: il gruppo sponsorizzato dallo stato ha compromesso SolarWinds Inc. e ha troianizzato gli aggiornamenti del software Orion IT usato dall’esercito e dalle agenzie governative degli Stati Uniti, oltre che da oltre 425 delle 500 più grandi aziende negli Stati Uniti. Gli avversari hanno firmato digitalmente gli aggiornamenti e li hanno pubblicati sul sito di aggiornamenti di SolarWinds durante questa primavera, il che ha lasciato un enorme numero di aziende nel mondo compromesse (i prodotti di SolarWinds sono usati da oltre 300k clienti in tutto il mondo).

CISA ha rilasciato Direttiva di Emergenza per mitigare il compromesso dei prodotti di gestione di rete SolarWinds Orion avvertendo della potenziale minaccia imposta dall’utilizzo dei prodotti SolarWinds Orion alle reti di numerose organizzazioni nei settori pubblico e privato.

Analisi del Backdoor Sunburst e Contenuti di Rilevamento

Il backdoor Sunburst si nasconde nel SolarWinds.Orion.Core.BusinessLayer.dll. Dopo essere entrato nel sistema, il backdoor attende fino a due settimane e solo allora inizia la sua attività dannosa. Il backdoor è in grado di trasferire ed eseguire file, profilare il sistema, disabilitare i servizi di sistema e riavviare la macchina. Il backdoor Sunburst utilizza il protocollo del Programma di Miglioramento di Orion e salva i dati raccolti nei file di configurazione dei plugin legittimi, rendendo estremamente difficile rilevare l’attività malware sulla rete di un’organizzazione.

Il nostro team SOC Prime e in collaborazione con i sviluppatori del Threat Bounty Program ha rilasciato regole Sigma basate sulle contromisure Sunburst pubblicate da FireEye su GitHub per rilevare il backdoor Sunburst e gli strumenti legati a questo attacco. L’articolo e la lista delle regole saranno aggiornati. Segui il nostro blog e consulta il Threat Detection Marketplace per le ultime regole di rilevazione per il backdoor Sunburst e le minacce correlate per rimanere aggiornato. 

Ecco la lista delle regole attualmente disponibili:

AD – Esportazione Chiave Maestra ADFS DKM (tramite sysmon)

AzureAD – Modifiche al Token Refresh del Servizio di Sicurezza del Token (STS)

AD – Esportazione Chiave Maestra ADFS DKM (tramite eventi di sicurezza)

AzureAD – Utente aggiunto ai Gruppi Privilegiati della Directory Attiva di Azure

Rilevatore di Attività dell’Attore di Minacce Dark Halo[UNC2452]

Rilevatore di Attacco alla Supply Chain di SolarWinds

AzureAD – Aggiunta di Permessi e Assegnazione dei Ruoli per la Lettura della Posta di Tutte le Caselle di Posta

AzureAD – Rilevamento di Modifiche alla Fiducia della Federazione del Dominio

AzureAD – Applicazione Modificata per Consentire l’Accesso Multi-Tenant

Solarwinds avvia Powershell con codifica Base64 (tramite cmdline)

Solarwinds avvia cmd.exe con echo (tramite cmdline)

Processo Adattatore ADFS generato (tramite cmdline)

CSRSS.exe generato da un luogo insolito (possibile imitazione) (tramite cmdline)

ADFind rinominato (tramite cmdline)

Interruzione sospetta del Servizio di Backup (tramite cmdline)

Cambio di importanza della configurazione VPC di AWS rilevato
SolarWinds Solarigate rilevato (tramite nome pipe)
Nome host del backdoor Solarwinds C2 rilevato. (tramite SSL)

Rileva possibile attività DarkHalo APT (Operatori SunBurst BackDoor) tramite creazione di archivi 7Zip per l’esfiltrazione dei dati

Hash dello strumento del Red Team di FireEye rilevato

Hacktool AndrewSpecial rilevato

HackTool KeeFarce rilevato

Possibile attività di ricognizione di Dark Halo Exchange (tramite cmdline)

Nome host del backdoor Solarwinds C2 rilevato. (tramite DNS)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta 3 min di lettura Piattaforma SOC Prime Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta by Steven Edwards Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Telychko
Tutte le notizie