Sophos XG Firewall에 대한 긴급 보안 업데이트가 이번 토요일에 출시되었습니다. 이 업데이트는 실제로 악용되고 있는 제로데이 SQL 인젝션 원격 코드 실행 취약점을 패치합니다. 이 취약점은 사이버 범죄자들이 Sophos 방화벽의 관리 인터페이스를 통해 이를 손상시키고 Asnarok 맬웨어를 배포할 수 있게 합니다. 이 트로이 목마는 방화벽의 라이선스와 일련번호, 사용자 이메일, 관리자의 솔트된 SHA256 해시, 암호화된 비밀번호를 훔칩니다. 위협으로부터 조직을 보호하기 위해 방화벽에서 핫픽스의 자동 설치가 활성화되어 있는지 확인하십시오: https://community.sophos.com/kb/en-us/135415우리의 SOC 팀은 Sophos의 보안 권고에 제공된 IOC를 기반으로 Sigma 규칙을 발표했습니다. 이를 사용하여 맬웨어의 흔적을 찾아내고 XG Firewall이 손상되었는지 확인할 수 있습니다. Uncoder를 사용하여 Sigma 규칙을 보안 플랫폼에 적합한 탐지 콘텐츠로 변환할 수 있습니다. 또한, Threat Detection Marketplace에서 모든 사용 가능한 번역과 함께 규칙을 확인할 수 있습니다: https://tdm.socprime.com/tdm/info/RN0oGcnrZfoU/HYulvHEB1-hfOQirCe1I/#Uncoder 링크: https://uncoder.io/Uncoder 사용자 가이드 여기에 있습니다: https://socprime.com/en/blog/uncoder-io-user-guide/Sigma:
| title: Sophos Firewall Asnarok 맬웨어 캠페인 (IOC) status: stable description: 2020년 4월, Sophos 방화벽은 관리 인터페이스를 통해 Sophos 방화벽을 손상시키는 제로데이 SQLi 익스플로잇을 사용한 배우에 의해 표적이 되었습니다. 전달된 맬웨어는 “asnarok”이라고 명명되었습니다. references: – https://news.sophos.com/en-us/2020/04/26/asnarok/ author: SOC Prime 팀 logsource: category: any detection: keyword: – ‘736da16da96222d3dfbb864376cafd58239344b536c75841805c661f220072e5’ – ‘a226c6a641291ef2916118b048d508554afe0966974c5ca241619e8a375b8c6b’ – ‘4de3258ebba1ef3638642a011020a004b4cd4dbe8cd42613e24edf37e6cf9d71’ – ‘9650563aa660ccbfd91c0efc2318cf98bfe9092b4a2abcd98c7fc44aad265fda’ – ‘8e9965c2bb0964fde7c1aa0e8b5d74158e37443d857fc227c1883aa74858e985’ – ’31e43ecd203860ba208c668a0e881a260ceb24cb1025262d42e03209aed77fe4′ – ‘/sp/sophos.dat’ – ‘.post_MI’ – ‘filedownloaderserverx.com’ – ‘filedownloaderserver.com’ – ‘updatefileservercross.com’ – ‘43.229.55.44’ – ‘38.27.99.69’ – ‘sophosfirewallupdate.com’ – ‘filedownloaderservers.com’ – ‘ragnarokfromasgard.com’ – ‘sophosenterprisecenter.com’ – ‘sophoswarehouse.com’ – ‘sophosproductupdate.com’ – ‘sophostraining.org’ condition: keyword falsepositives: – 이 규칙은 위협 인텔리전스 피드에서 IOC 데이터에 트리거될 수 있습니다 level: critical |
