همانطور که پیشتر در اینجا به آن پرداخته شد در اواسط آذر ماه فاش شد که مهاجمان با اجرای یک حمله سایبری موفق بر ضد شرکت سولارویندز، اقدام به تزریق کد آلوده به یکی از فایلهای نرمافزار SolarWinds Orion و تبدیل آن به یک درپشتی (Backdoor) با نام SUNBURST شده بودند. فایل مذکور نیز از طریق قابلیت بهروزرسانی خودکار این نرمافزار به شبکه مشتریان سولارویندز راه یافته بود.
یافتههای این حمله را میتوان به موارد زیر خلاصه کرد:
https://www.microsoft.com/security/blog/۲۰۲۰/۱۲/۱۸/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/https://unit۴۲.paloaltonetworks.com/solarstorm-supernova/
در این گزارش آخرین نشانههای آلودگی(IoC) این بدافزار و راهکارهای ارائه شده از سوی برخی شرکتهای امنیتی مورد بررسی قرار گرفته است.
فایلی با عملکرد Windows Installer Patch بهعنوان ناقل نسخه مخرب SolarWinds Orion از طریق لینک زیر در دسترس قرار داشته است:
hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/۲۰۱۹,۴/۲۰۱۹.۴.۵۲۲۰.۲۰۵۷۴/SolarWinds-Core-v۲۰۱۹.۴.۵۲۲۰-Hotfix۵.msp
از قواعد Snort زیر میتوان برای مقابله با این تهدید بهره برد:
شرکت فایرآی نیز مجموعه قواعدی از جمله از نوع Snort و Yara برای شناسایی نشانههای آلودگی مرتبط با سولار ویندز در دسترس قرار داده که در لینک زیر قابل دریافت است:
https://github.com/fireeye/sunburst_countermeasures/tree/main/rules
از دادههای به اشتراک گذاشته شده در مسیر زیر میتوان بهمنظور شناسایی حمله در بستر Splunk Enterprise Security استفاده کرد:
https://github.com/davisshannon/Splunk-Sunburst
توصیهنامه شرکت مکآفی در خصوص درپشتی Sunburst و راهکارهای مقابله با آن در لینک زیر قابل مطالعه است:
https://kc.mcafee.com/corporate/index?page=content&id=KB۹۳۸۶۱
به تمامی راهبران محصولات SolarWinds Orion توصیه میشود تا با مراجعه به لینک زیر از بهروز بودن این محصول اطمینان حاصل کنند:
http://www.solarwinds.com/securityadvisory
مطالعه منابع زیر پیشنهاد میشود:
https://unit۴۲.paloaltonetworks.com/fireeye-solarstorm-sunburst/https://www.fireeye.com/blog/threat-research/۲۰۲۰/۱۲/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.htmlhttps://www.fireeye.com/blog/threat-research/۲۰۲۰/۱۲/sunburst-additional-technical-details.htmlhttps://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-attacks-stealthy-attackers-attempted-evade-detectionhttps://www.mcafee.com/blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/https://www.mcafee.com/blogs/other-blogs/mcafee-labs/additional-analysis-into-the-sunburst-backdoor/https://www.splunk.com/en_us/blog/security/sunburst-backdoor-detections-in-splunk.htmlhttps://news.sophos.com/en-us/۲۰۲۰/۱۲/۱۴/solarwinds-breach-how-to-identify-if-you-have-been-affected/https://news.sophos.com/en-us/۲۰۲۰/۱۲/۲۱/how-sunburst-malware-does-defense-evasion/https://www.fortinet.com/blog/threat-research/what-we-have-learned-so-far-about-the-sunburst-solarwinds-hackhttps://securelist.com/how-we-protect-against-sunburst-backdoor/۹۹۹۵۹/
دیدگاه شما