Detecção de Backdoor Sunburst: Ataque na Cadeia de Suprimentos da SolarWinds à FireEye e Agências dos EUA

[post-views]
Dezembro 14, 2020 · 4 min de leitura
Detecção de Backdoor Sunburst: Ataque na Cadeia de Suprimentos da SolarWinds à FireEye e Agências dos EUA

Apenas alguns dias após a informação sobre a violação de dados da FireEye aparecer, a empresa publicou os resultados de sua investigação e detalhes sobre o backdoor Sunburst (incluindo o relatório técnico and contramedidas), através das quais o grupo APT penetrou em redes de várias organizações, e agora empresas potencialmente comprometidas podem rapidamente detectar essa ameaça. A escala do ataque à cadeia de suprimentos detectado é verdadeiramente impressionante: o grupo patrocinado pelo estado comprometeu a SolarWinds Inc. e trojanizou atualizações do software Orion IT usado pelos militares dos EUA e agências governamentais, bem como por mais de 425 das 500 maiores empresas dos EUA. Os adversários assinaram digitalmente as atualizações e as publicaram no site de atualizações da SolarWinds durante esta primavera, o que deixou um grande número de empresas em todo o mundo comprometidas (os produtos da SolarWinds são usados por mais de 300 mil clientes globalmente).

CISA emitiu Diretiva de Emergência para Mitigar o Comprometimento dos Produtos de Gerenciamento de Redes Orion da SolarWinds alertando sobre a ameaça potencial imposta pelo uso dos produtos SolarWinds Orion em redes de inúmeras organizações dos setores público e privado.

Análise do Backdoor Sunburst e Conteúdo de Detecção

O backdoor Sunburst esconde-se em SolarWinds.Orion.Core.BusinessLayer.dll. Após entrar no sistema, o backdoor espera até duas semanas e só então começa sua atividade nociva. O backdoor é capaz de transferir e executar arquivos, fazer o perfil do sistema, desativar serviços do sistema e reiniciar a máquina. O backdoor Sunburst utiliza o protocolo Orion Improvement Program e salva os dados coletados em arquivos de configuração de plugins legítimos, tornando extremamente difícil detectar a atividade de malware na rede de uma organização.

Nossa equipe SOC Prime e em colaboração com os desenvolvedores do  Programa de Recompensas de Ameaças lançaram regras Sigma baseadas em Contramedidas Sunburst que foram publicadas pela FireEye no GitHub para detectar o  backdoor Sunburst e ferramentas relacionadas a esse ataque. O artigo e a lista de regras serão atualizados. Acompanhe o nosso blog e confira o Threat Detection Marketplace para as últimas regras para detecção do backdoor Sunburst e ameaças relacionadas para se manter atualizado. 

Aqui está a lista de regras que estão disponíveis atualmente:

AD – Exportação de Chave Mestre DKM ADFS (via sysmon)

AzureAD – Modificações em Token de Atualização do Serviço de Token de Segurança (STS)

AD – Exportação de Chave Mestre DKM ADFS (via eventos de segurança)

AzureAD – Usuário adicionado aos Grupos Privilegiados do Azure Active Directory

Detector de Atividades do Ameaçador Dark Halo[UNC2452]

Detector de Ataque à Cadeia de Suprimentos SolarWinds

AzureAD – Adicionando Permissão e Atribuição de Função para Leitura de Emails em Todas as Caixas de Correio

Detecção de Modificação de Confiança de Federação de Domínio AzureAD

Aplicativo AzureAD Modificado para Permitir Acesso Multi-Tenant

Solarwinds Iniciando Powershell com Codificação Base64 (via cmdline)

Solarwinds iniciando cmd.exe com echo (via cmdline)

Processo Adaptador ADFS Inicializa (via cmdline)

CSRSS.exe iniciado de local incomum (possível imitação) (via cmdline)

Renomeado ADFind (via cmdline)

Interrupção Suspeita do Serviço de Backup (via cmdline)

Mudança de Importância de Configuração do AWS VPC Detectada
SolarWinds Solarigate Detectado (via pipe de nome)
Nome do host C2 do backdoor Solarwinds detectado. (via SSL)

Detecta possível atividade APT Dark Halo (SunBurst BackDoor Operators) via criação de arquivo 7Zip para exfiltração de dados

Hash da Ferramenta de Equipe Vermelha da FireEye Detectado

Hacktool AndrewSpecial Detectado

HackTool KeeFarce Detectado

Possível Atividade de Reconhecimento do Exchange Dark Halo (via cmdline)

Nome do host C2 do backdoor Solarwinds detectado. (via DNS)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias