Compromiso de la cadena de suministro de SUNBURST Malware y SolarWinds


Parte I de II

Situación

en un publicación de blog publicada el 13 de diciembre de 2020, FireEye revelado que los actores de amenazas comprometieron el software de administración y monitoreo de TI Orion de SolarWinds con una versión troyanizada de SoalrWinds.Orion.Core.BusinessLayer.dll. El archivo troyanizado envía el malware SUNBURST a través de una puerta trasera como parte de un parche de Windows Installer firmado digitalmente. El uso de una cadena de suministro de software comprometida (T1195.002) como técnica de acceso inicial es particularmente crítico, ya que puede pasar desapercibido durante un período prolongado. Lanzamiento de FireEye contramedidas que puede identificar el malware SUNBURST.

Si está utilizando el software SolarWinds, consulte la guía de la empresa. aquí para buscar versiones vulnerables e información de parches. McAfee ha evaluado las contramedidas publicadas y continuará analizando más indicadores de ataque. Es importante tener en cuenta que este fue un ataque muy sofisticado y se recomienda a los clientes que evalúen la capacidad general de su arquitectura de seguridad para prevenir, detectar o responder a una amenaza APT. Este ataque nos recuerda que en la empresa digital actual, la cadena de suministro incluye muchos elementos diversos que incluyen, entre otros, equipos y hardware críticos, software e infraestructura en la nube como proveedor de servicios y software de TI crítico. Se aconseja a los clientes que evalúen las estrategias de protección de la propiedad intelectual y de integridad de la cadena de suministro. La primera parte de esta serie de blogs detalla la guía defensiva inicial de McAfee y las acciones de respuesta. La segunda parte describirá recomendaciones adicionales de mitigación y solución.

Resumen de protección

Para obtener la información más reciente sobre McAfee, consulte KB93861y suscríbete para recibir actualizaciones. A continuación se muestra un resumen de protección hasta la fecha para los indicadores de puerta trasera conocidos

  • GTI Cloud y el último DAT tienen cobertura para indicadores conocidos y dominios C2 para la puerta trasera
  • McAfee Web Gateway puede bloquear dominios C2 conocidos
  • McAfee continúa revisando otros enfoques de detección, incluidos Real Protect y Endpoint Detection and Response
  • Los investigadores de amenazas avanzadas de McAfee continúan buscando nuevos indicadores. Las actualizaciones de inteligencia estarán disponibles en MVISION Insights
  • Las firmas están disponibles para Network Security Platform para detectar indicadores de compromiso de la red.

McAfee Labs continuará con el análisis de cualquier indicador conocido asociado con este ataque y actualizará la protección del producto en consecuencia. Además, se están realizando análisis para analizar los componentes de comportamiento de la campaña y garantizar que la eficacia del producto considere la protección más allá de las medidas estáticas como las firmas.

Resumen de inteligencia de amenazas

MVISION Insights realiza un seguimiento de la campaña como Ataque a la cadena de suministro de SolarWinds que afecta a múltiples víctimas globales con SUNBURST Backdoor. Los clientes pueden ver la versión pública de MVISION Insights para conocer los últimos detalles de los ataques, la prevalencia, las técnicas utilizadas y los indicadores de compromiso.

Figura 1: Resumen del ataque

Insights proporciona los indicadores que utiliza SUNBURST. Los indicadores continuarán actualizándose en base a la recopilación automatizada y el análisis humano. Puede utilizar los indicadores para realizar búsquedas en su red. Nota: Esto se actualizará a medida que se verifiquen nuevos indicadores.

Figura 2: Indicadores de campaña

Insights describe las técnicas de MITRE Att & ck utilizadas por SUNBURST. Puede utilizar el marco MITRE Att & ck para evaluar la capacidad defensiva en toda su arquitectura de seguridad.

Figura 3: Marco de Mitre Att & ck

BUSCANDO LOS INDICADORES DE LA PUERTA TRASERA

Una de las primeras acciones de respuesta inicial debería ser buscar indicadores conocidos del ataque. Puede usar MVISION EDR o MAR para buscar puntos finales para indicadores de puerta trasera SUNBURST como lo proporcionan Microsoft y FireEye. Consulte la sintaxis de búsqueda a continuación. Si tiene licencia para MVISION Insights, esta consulta se realizará automáticamente. Se publicarán orientaciones defensivas adicionales en un próximo blog.

Iniciar sintaxis de consulta MVEDR…

nombre de los archivos, FULL_NAME, MD5, SHA256, created_at, create_user_name, create_user_domain y nombre de host hostinfo, direccion_ip, OS y LoggedInUsers nombre de usuario, userdomain donde los archivos sha256 es igual a “ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c” o archivos sha256 es igual a “c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77” o archivos sha256 es igual a “eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed” o archivos sha256 es igual a “dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b” o archivos sha256 es igual a “32519685c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77” o archivos sha256 es igual a “d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600” o archivos sha256 es igual a “53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7” o archivos sha256 es igual a “019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134” o archivos sha256 es igual a “ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6” o archivos sha256 es igual a “3 2519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77” o archivos sha256 es igual a ‘292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712’ o archivos sha256 es igual a ‘c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71’

… Finalizar la sintaxis de consulta MVEDR

También debe buscar en los registros de McAfee Web Gateway (u otros registros de red y SIEM) para comunicarse con dominios de comando y control o direcciones IP, en particular aquellos categorizados como "Sitios maliciosos" a continuación. Continúe revisando MVISION Insights para nuevos dominios y URL.

Que sigue

Es importante tener en cuenta que el análisis continuo será fundamental para comprender cómo se adaptarán los atacantes y qué mitigación adicional se requiere. Este será un proceso continuo y esperamos agregar múltiples actualizaciones a KB93861. Además, los clientes deben seguir las publicaciones de McAfee Labs, consultar el Panel público de Insights para conocer la inteligencia sobre amenazas más reciente y comprobar continuamente el Centro de Conocimiento para obtener la última guía de productos. La segunda parte de este blog cubrirá las capacidades defensivas y los controles con más profundidad.

Recursos adicionales de McAfee Threat Intel

Campañas de tendencias de Insights

Cada semana, Insights Preview destaca las principales amenazas emergentes y campañas basadas en la recopilación y el análisis de ATR Operational Intelligence.

Panel de Atlas

Siga las últimas estadísticas de amenazas de COVID en el panel público de Atlas. Para obtener más información acerca de cómo un cliente puede utilizar Atlas e Intelligence as a Service de APG, hable con su administrador de cuentas de McAfee para un taller informativo y taller de Intel sobre amenazas.

Investigación de amenazas

Los equipos de McAfee Labs y Advanced Threat Research producen informes de investigación periódicos con las últimas estadísticas y tendencias de inteligencia de amenazas. Comparta los informes con los clientes.

Blogs de McAfee Threat Intelligence

Revise y comparta nuestros blogs externos que presentan análisis de malware más profundos y explicaciones sobre amenazas emergentes y campañas de ataque.





Enlace a la noticia original