선버스트 백도어 탐지: FireEye 및 미국 기관에 대한 Solarwinds 공급망 공격

정보가 공개된 지 며칠 후 FireEye 데이터 유출 에 대한 조사가 완료되었으며, 회사는 Sunburst 백도어에 대한 조사 결과와 세부 사항을 발표했습니다 ( 기술 보고서 and 대책)를 공개했습니다. 이를 통해 APT 그룹이 여러 조직의 네트워크에 침투했으며, 이제 잠재적으로 침해된 회사들은 이 위협을 빠르게 감지할 수 있게 되었습니다. 감지된 공급망 공격의 규모는 정말로 인상적입니다: 국가 지원 그룹은 SolarWinds Inc.를 침해하고 US 군사 및 정부 기관뿐만 아니라 미국 Fortune 500의 425개 이상의 회사에 사용되는 Orion IT 소프트웨어 업데이트를 트로이화했습니다. 적대자들은 업데이트에 디지털 서명을 했고 이번 봄 동안 SolarWinds 업데이트 웹사이트에 게시했습니다. 결과적으로 전 세계 수많은 기업들이 침해를 입었습니다 (SolarWinds의 제품은 전 세계 30만 이상의 고객이 사용 중입니다).

CISA는 긴급 지시 를 발행하여 SolarWinds Orion 네트워크 관리 제품의 침해를 완화하기 위해 여러 조직의 네트워크에 미치는 잠재적인 위협을 경고했습니다.

Sunburst 백도어 분석 및 탐지 콘텐츠

Sunburst 백도어는 SolarWinds.Orion.Core.BusinessLayer.dll에 숨겨져 있습니다. 시스템에 침투한 후 백도어는 최대 2주 동안 대기한 다음 해로운 활동을 시작합니다. 백도어는 파일을 전송하고 실행하며, 시스템 프로파일링을 수행하고, 시스템 서비스를 비활성화하고, 머신을 재부팅할 수 있습니다. Sunburst 백도어는 Orion 개선 프로그램 프로토콜을 사용하며 수집된 데이터를 정당한 플러그인 구성 파일에 저장하므로 조직의 네트워크에서 악성 활동을 탐지하기 어렵게 만듭니다.

우리 SOC Prime 팀은 Threat Bounty Program 개발자와 협력하여 GitHub에 FireEye가 공개한 Sunburst 대책을 기반으로 한 Sigma 규칙을 발표하여 Sunburst 백도어와 이 공격과 관련된 도구를 감지할 수 있도록 했습니다. 이 기사와 규칙 목록은 업데이트될 예정입니다. 우리의 블로그를 팔로우하고 Threat Detection Marketplace에서 최신의 Sunburst 백도어 및 관련 위협 탐지 규칙을 확인하세요.

현재 이용 가능한 규칙 목록은 다음과 같습니다: