Submitted on Lun, 28/12/2020 - 13:39

 

Para la detección de la puerta trasera de la cadena de suministro conocida como SUNBURST, FireEye publicó indicadores y detecciones que ayudan a las organizaciones a identificar esta puerta trasera y este actor de amenazas. Las firmas son una mezcla de formatos Yara, IOC y Snort.

Una lista de las detecciones y firmas está disponible en el repositorio de FireEye GitHub que se encuentra aquí. FireEye continúa lanzando detecciones y actualizando el repositorio público con detecciones superpuestas para indicadores de host y de red a medida que desarrollan nuevos o refinan los existentes. Se encontraron varios hashes con esta puerta trasera y en el repositorio de FireEye se publicaran las actualizaciones de esos hashes.

 

Técnicas MITRE ATT&CK observadas

ID Descripción
T1012 Registro de Query
T1027 Archivos ofuscados o Información
T1057 Descubrimiento de Procesos
T1070.004 Eliminación de archivos
T1071.001 Protocolos Web
T1071.004 Protocolo de capa de aplicación: DNS
T1083 Decubrimiento de Archivos y Directorios
T1105 Transferencia de herramientas de ingreso
T1132.001 Codificación Estándar
T1195.002 Comprometer la cadena de suministro de software
T1518 Descubrimiento de Software
T1518.001 Descubrimiento de Software de Seguridad
T1543.003 Servicio de Windows
T1553.002 Firma de código
T1568.002 Algoritmos de Generación de Dominio
T1569.002 Ejecución de Servicios
T1584 Compromiso de Infraestructura

 

Recomendaciones de mitigación inmediata

Antes de seguir la recomendación de SolarWind de utilizar la versión 2020.2.1 HF 1 de Orion Platform, que actualmente está disponible a través del Portal de clientes de SolarWinds, las organizaciones deben considerar la preservación de los dispositivos afectados y la construcción de nuevos sistemas con las últimas versiones. La aplicación de una actualización a un sistema afectado podría sobrescribir la evidencia forense y dejar puertas traseras adicionales. Además, SolarWinds ha publicado instrucciones adicionales de mitigación y refuerzo aquí.

En el caso de que no pueda seguir las recomendaciones de SolarWinds, las siguientes son técnicas de mitigación inmediata que podrían implementarse como primeros pasos para abordar el riesgo del software SolarWinds troyano en un entorno. Si se descubre actividad de un atacante en un entorno, recomendamos realizar una investigación exhaustiva, diseñar y ejecutar una estrategia de reparación impulsada por los hallazgos de la investigación y los detalles del entorno afectado.

  • Asegúrese de que los servidores SolarWinds estén aislados/contenidos hasta que se lleve a cabo una revisión e investigación adicionales. Esto debería incluir el bloqueo de todas las salidas de Internet de los servidores SolarWinds.
  • Si la infraestructura de SolarWinds no está aislada, considere realizar los siguientes pasos:
    • Restrinja el alcance de la conectividad a los puntos finales de los servidores de SolarWinds, especialmente aquellos que se considerarían activos de nivel 0 / activos crown jewel.
    • Restrinja el alcance de las cuentas que tienen privilegios de administrador local en los servidores SolarWinds.
    • Bloquee la salida de Internet desde servidores u otros puntos finales con el software SolarWinds.
  • Considere (como mínimo) cambiar las contraseñas de las cuentas que tienen acceso a los servidores/infraestructura de SolarWinds. Con base en una revisión/investigación adicional, es posible que se requieran medidas de reparación adicionales.
  • Si SolarWinds se utiliza para administrar la infraestructura de red, considere realizar una revisión de las configuraciones de los dispositivos de red para detectar modificaciones inesperadas o no autorizadas. Tenga en cuenta que esta es una medida proactiva debido al alcance de la funcionalidad de SolarWinds, no basada en hallazgos de investigación.