Cómo inyectar una puerta trasera en SolarWinds Orion


Cómo inyectar una puerta trasera en SolarWinds Orion

Crowdstrike es reportando en una pieza sofisticada de malware que pudo inyectar malware en el proceso de compilación de SolarWinds:

Puntos clave

  • SUNSPOT es el malware de StellarParticle que se utiliza para insertar la puerta trasera SUNBURST en las compilaciones de software del producto de gestión de TI SolarWinds Orion.
  • SUNSPOT monitorea los procesos en ejecución para aquellos involucrados en la compilación del producto Orion y reemplaza uno de los archivos fuente para incluir el código de puerta trasera de SUNBURST.
  • Se agregaron varias salvaguardas a SUNSPOT para evitar que las compilaciones de Orion fallen, lo que podría alertar a los desarrolladores sobre la presencia del adversario.

El análisis de un servidor de compilación de computer software SolarWinds proporcionó información sobre cómo StellarParticle secuestró el proceso para insertar SUNBURST en los paquetes de actualización. El diseño de SUNSPOT sugiere que los desarrolladores de StellarParticle invirtieron mucho esfuerzo para garantizar que el código se insertara correctamente y no se detectara, y priorizaron la seguridad operativa para evitar revelar su presencia en el entorno de compilación a los desarrolladores de SolarWinds.

Esto, por supuesto, nos recuerda a muchos de nosotros el experimento psychological de Ken Thompson de su conferencia del Premio Turing de 1984, «Reflexiones sobre la confianza en la confianza. » En esa charla, sugirió que un compilador de C malicioso podría agregar una puerta trasera a los programas que compila.

La moraleja es obvia. No puede confiar en un código que no creó usted mismo por completo. (Especialmente el código de compañías que emplean a personas como yo). Ninguna verificación o escrutinio a nivel de fuente lo protegerá del uso de código que no sea de confianza. Al demostrar la posibilidad de este tipo de ataque, elegí el compilador de C. Podría haber elegido cualquier programa de manejo de programas, como un ensamblador, un cargador o incluso un microcódigo de hardware. A medida que el nivel del programa desciende, estos errores serán cada vez más difíciles de detectar. Un mistake de microcódigo bien instalado será casi imposible de detectar.

Todo eso sigue siendo cierto hoy.

Publicado el 19 de enero de 2021 a las 6:16 h. •
3 comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia original