- Inicie sesión para enviar comentarios
Para la detección de la puerta trasera de la cadena de suministro conocida como SUNBURST, FireEye publicó indicadores y detecciones que ayudan a las organizaciones a identificar esta puerta trasera y este actor de amenazas. Las firmas son una mezcla de formatos Yara, IOC y Snort.
Una lista de las detecciones y firmas está disponible en el repositorio de FireEye GitHub que se encuentra aquí. FireEye continúa lanzando detecciones y actualizando el repositorio público con detecciones superpuestas para indicadores de host y de red a medida que desarrollan nuevos o refinan los existentes. Se encontraron varios hashes con esta puerta trasera y en el repositorio de FireEye se publicaran las actualizaciones de esos hashes.
Técnicas MITRE ATT&CK observadas
| ID | Descripción |
| T1012 | Registro de Query |
| T1027 | Archivos ofuscados o Información |
| T1057 | Descubrimiento de Procesos |
| T1070.004 | Eliminación de archivos |
| T1071.001 | Protocolos Web |
| T1071.004 | Protocolo de capa de aplicación: DNS |
| T1083 | Decubrimiento de Archivos y Directorios |
| T1105 | Transferencia de herramientas de ingreso |
| T1132.001 | Codificación Estándar |
| T1195.002 | Comprometer la cadena de suministro de software |
| T1518 | Descubrimiento de Software |
| T1518.001 | Descubrimiento de Software de Seguridad |
| T1543.003 | Servicio de Windows |
| T1553.002 | Firma de código |
| T1568.002 | Algoritmos de Generación de Dominio |
| T1569.002 | Ejecución de Servicios |
| T1584 | Compromiso de Infraestructura |
Recomendaciones de mitigación inmediata
Antes de seguir la recomendación de SolarWind de utilizar la versión 2020.2.1 HF 1 de Orion Platform, que actualmente está disponible a través del Portal de clientes de SolarWinds, las organizaciones deben considerar la preservación de los dispositivos afectados y la construcción de nuevos sistemas con las últimas versiones. La aplicación de una actualización a un sistema afectado podría sobrescribir la evidencia forense y dejar puertas traseras adicionales. Además, SolarWinds ha publicado instrucciones adicionales de mitigación y refuerzo aquí.
En el caso de que no pueda seguir las recomendaciones de SolarWinds, las siguientes son técnicas de mitigación inmediata que podrían implementarse como primeros pasos para abordar el riesgo del software SolarWinds troyano en un entorno. Si se descubre actividad de un atacante en un entorno, recomendamos realizar una investigación exhaustiva, diseñar y ejecutar una estrategia de reparación impulsada por los hallazgos de la investigación y los detalles del entorno afectado.
- Asegúrese de que los servidores SolarWinds estén aislados/contenidos hasta que se lleve a cabo una revisión e investigación adicionales. Esto debería incluir el bloqueo de todas las salidas de Internet de los servidores SolarWinds.
- Si la infraestructura de SolarWinds no está aislada, considere realizar los siguientes pasos:
- Restrinja el alcance de la conectividad a los puntos finales de los servidores de SolarWinds, especialmente aquellos que se considerarían activos de nivel 0 / activos crown jewel.
- Restrinja el alcance de las cuentas que tienen privilegios de administrador local en los servidores SolarWinds.
- Bloquee la salida de Internet desde servidores u otros puntos finales con el software SolarWinds.
- Considere (como mínimo) cambiar las contraseñas de las cuentas que tienen acceso a los servidores/infraestructura de SolarWinds. Con base en una revisión/investigación adicional, es posible que se requieran medidas de reparación adicionales.
- Si SolarWinds se utiliza para administrar la infraestructura de red, considere realizar una revisión de las configuraciones de los dispositivos de red para detectar modificaciones inesperadas o no autorizadas. Tenga en cuenta que esta es una medida proactiva debido al alcance de la funcionalidad de SolarWinds, no basada en hallazgos de investigación.