A t\u00e1mad\u00e1st k\u00f6vet\u0151en p\u00e1r nappal, december 13-\u00e1n \u00e9rtes\u00fclt\u00fcnk a k\u00e1rok nagys\u00e1grendj\u00e9r\u0151l: a FireEye-on kereszt\u00fcl vil\u00e1gszerte \u00e9rintett volt t\u00f6bb mint 18 000 v\u00e1llalat \u00e9s int\u00e9zm\u00e9ny, jeles\u00fcl k\u00f6r\u00fclbel\u00fcl negyven USA korm\u00e1nyzati szerv, bele\u00e9rtve a Belbiztons\u00e1gi Miniszt\u00e9riumot \u00e9s a Nemzeti Nukle\u00e1ris Biztons\u00e1gi Igazgat\u00f3s\u00e1got (NNSA).<\/p>\n
Mi a k\u00f6z\u00f6s benn\u00fck? <\/p>\n
Mindegyik a SolarWinds nev\u0171 c\u00e9g \u00e1ltal gy\u00e1rtott Orion szoftver informatikai rendszer\u00e9n bel\u00fcl tal\u00e1lhat\u00f3. A SolarWinds sokf\u00e9le k\u00f6zponti h\u00e1l\u00f3zat-, rendszer- \u00e9s infrastrukt\u00faramenedzsmentet k\u00edn\u00e1l\u00f3 \u00fczleti szoftvert gy\u00e1rt. Az el\u0151zetes vizsg\u00e1latok arra utalnak, hogy a t\u00e1mad\u00e1s\u00e9rt az APT29 (Cozy Bear) csoport a felel\u0151s.
\n<\/p>\n
\u00dagy t\u0171nik, hogy a t\u00e1mad\u00e1s kiindul\u00e1si vektora ennek az IT-monitoroz\u00f3 alkalmaz\u00e1snak a m\u00e9lyrehat\u00f3 kompromitt\u00e1l\u00e1sa volt. Az \u00e9rintett Orion verzi\u00f3k eg\u00e9szen 2019 okt\u00f3ber\u00e9ig ny\u00falnak vissza.
\n
Technikai \u00e9rtelemben a rosszindulat\u00fa program minden bizonnyal az alkalmaz\u00e1s fejleszt\u00e9si l\u00e1nc\u00e1ba ker\u00fclt be, m\u00e9g pontosabban a solarwinds.orion.core.businesslayer.dll k\u00f6nyvt\u00e1rba. Ez a dll azt\u00e1n hivatalos SolarWinds tan\u00fas\u00edtv\u00e1nnyal lett hiteles\u00edtve, ez\u00e1ltal megb\u00edzhat\u00f3 st\u00e1tuszt kapott. A c\u00e9lrendszerre t\u00f6rt\u00e9n\u0151 telep\u00edt\u00e9s ut\u00e1n a bin\u00e1ris f\u00e1jl regisztr\u00e1l a rosszindulat\u00fa \u201eBeacon\u201d oldalon az avsvmcloud.com domain megh\u00edv\u00e1s\u00e1val, imit\u00e1lva egy legitim SolarWinds protokollt. A kiberb\u0171n\u00f6z\u0151k ekkor egy ellen\u0151rz\u0151-ir\u00e1ny\u00edt\u00f3 (C&C) kommunik\u00e1ci\u00f3t kezdem\u00e9nyeznek az eredeti kapcsolat r\u00e9v\u00e9n megszerzett m\u00e1s domainekkel \u00e9s IP-c\u00edmekkel.
\n<\/p>\n
Rejt\u0151zk\u00f6d\u00e9s
\n
Ez a malware technol\u00f3giailag rendk\u00edv\u00fcl fejlett \u00e9s sokf\u00e9le rejt\u0151zk\u00f6d\u0151 technik\u00e1t haszn\u00e1l, mint p\u00e9ld\u00e1ul:
\n
\u2022\tVirtu\u00e1lis dedik\u00e1lt szerver haszn\u00e1lata C&C kommunik\u00e1ci\u00f3ra olyan IP-c\u00edmekkel, amelyek f\u00f6ldrajzilag megegyeznek az \u00e1ldozat orsz\u00e1g\u00e1val;
\n
\u2022\tA \u201elast mile\u201d IP rot\u00e1l\u00e1sa m\u00e1s-m\u00e1s f\u00f6ldrajzi pontok k\u00f6z\u00f6tt a detekt\u00e1l\u00e1s korl\u00e1toz\u00e1sa v\u00e9gett;
\n
\u2022\tSzteganogr\u00e1fia haszn\u00e1lata a C&C kommunik\u00e1ci\u00f3 elrejt\u00e9s\u00e9re, a hivatalos \u201eOrion Improvement Protocol\u201d-t haszn\u00e1lva csatornak\u00e9nt;
\n
\u2022\tFuttat\u00e1s \u00e9szlel\u00e9se (\u00e9s le\u00e1ll\u00edt\u00e1sa) sandbox t\u00edpus\u00fa k\u00f6rnyezetekben;
\n
\u2022\t\u00c1lc\u00e1z\u00f3 hiteles\u00edt\u00e9si tokenek \u00e9s accountok haszn\u00e1lata oldalaz\u00f3 bel\u00e9p\u00e9sek c\u00e9lj\u00e1b\u00f3l, ugyanis az effajta spoofing \u00e1ltal keltett riaszt\u00e1sok \u00e1ltal\u00e1ban nem el\u00e9g kritikusak ahhoz, hogy l\u00e1that\u00f3v\u00e1 v\u00e1ljanak.
\n
Perzisztencia
\n
A legt\u00f6bb c\u00e9lzott t\u00e1mad\u00e1shoz hasonl\u00f3an a kiberb\u0171n\u00f6z\u0151k egyik f\u0151 t\u00f6rekv\u00e9se bizonyos szint\u0171 perzisztenci\u00e1t el\u00e9rni az \u00e1ldozat informatikai rendszer\u00e9hez t\u00f6rt\u00e9n\u0151 hozz\u00e1f\u00e9r\u00e9sben. Nyilv\u00e1nval\u00f3an itt is err\u0151l van sz\u00f3. Sz\u00e1mos erre utal\u00f3 mechanizmus der\u00fclt ki:
\n
\u2022\tP\u00e9ld\u00e1ul kiemelt jogosults\u00e1ggal rendelkez\u0151 accountok \u00e9s hiteles\u00edt\u00e9si tokenek l\u00e9trehoz\u00e1sa az Azure Active Directory-ban (hozz\u00e1f\u00e9r\u00e9s a \u201eKey Vault\u201d-hoz);
\n
\u2022\t\u00daj \u201efederation trust\u201d hozz\u00e1ad\u00e1sa az \u00e1ldozat domainj\u00e9hez; pontosabban \u00faj Active Directory Federated Services (ADFS) TrustedRealm objektum hozz\u00e1ad\u00e1sa \u00faj root tan\u00fas\u00edtv\u00e1nyk\u00e9nt;
\n
\u2022\tTov\u00e1bbi tr\u00f3jai programok telep\u00edt\u00e9se stb.
\n
Kompromitt\u00e1lts\u00e1gi indik\u00e1torok
\n
A t\u00e1mad\u00e1s k\u00fcl\u00f6nb\u00f6z\u0151 kompromitt\u00e1lts\u00e1gi indik\u00e1torait (IoC) k\u00f6zz\u00e9tette a FireEye, \u00e9s itt el\u00e9rhet\u0151k:
\n
\u2022\tAlkalmazhat\u00f3 ellenl\u00e9p\u00e9sek a Sunburst malware \u00e9szlel\u00e9s\u00e9re: github.com\/fireeye\/sunburst_countermeasures<\/a>
\n
\u2022\tAlkalmazhat\u00f3 ellenl\u00e9p\u00e9sek a FireEye-t\u00f3l ellopott Red Team eszk\u00f6z\u00f6k haszn\u00e1lat\u00e1nak \u00e9szlel\u00e9s\u00e9re: <br github.com\/fireeye\/red_team_tool_countermeasures\\”>\/>github.com\/fireeye\/red_team_tool_countermeasures<\/a>
\n<\/p>\n
Ezeknek a kompromitt\u00e1lts\u00e1gi indik\u00e1toroknak a haszn\u00e1lat\u00e1val kifejlesztett\u00fck az \u00e9szlel\u00e9si szignat\u00far\u00e1kat a Stromshield Network Security (SNS) h\u00e1l\u00f3zatv\u00e9delmi \u00e9s a Stormshield Endpoint Security (SES) v\u00e9gpontv\u00e9delmi megold\u00e1sainkhoz. Al\u00e1bb olvashat\u00f3k ezeknek a megold\u00e1soknak a r\u00e9szletei, az \u00e1ltal\u00e1nos javaslatokkal egy\u00fctt.
\n<\/p>\n
Az SNS eset\u00e9ben sz\u00e1mos v\u00e9delmi ter\u00fclet aktiv\u00e1lhat\u00f3:
\n
\u2022\tFriss\u00edteni kell az SNS (alap \u00e9s opcion\u00e1lis) integr\u00e1lt antiv\u00edrus adatb\u00e1zist, hogy mag\u00e1ba foglalja az \u00faj Sunburst szignat\u00far\u00e1kat (s\u00e9r\u00fclt SolarWinds \u00e9s FireEye Red Team f\u00e1jlok). Ez a ClamAV 26018 adatb\u00e1zisverzi\u00f3t \u00e9s ann\u00e1l frissebbeket, valamint a Kaspersky december 13-i szignat\u00farafriss\u00edt\u00e9s\u00e9t jelenti.
\n
\u2022\tA \u201eMalware\u201d kateg\u00f3ria az Extended Web Control opci\u00f3nk eset\u00e9ben tartalmazza a Sunburst \u00e1ltal C&C-re \u00e9s a \u201eBeacon\u201d-nel t\u00f6rt\u00e9n\u0151 kommunik\u00e1ci\u00f3ra haszn\u00e1lt rosszindulat\u00fa URL-eket. Ha nem iratkozott fel erre az opci\u00f3ra, az al\u00e1bbi URL-eket tudja blokkolni az egy\u00e9ni kateg\u00f3ria haszn\u00e1lat\u00e1val:
\n
o\tavsvmcloud[.]com
\n
o\tfreescanonline[.]com
\n
o\tdeftsecurity[.]com
\n
o\tthedoccloud[.]com
\n
o\twebsitetheme[.]com
\n
o\thighdatabase[.]com
\n
o\tincomeupdate[.]com
\n
o\tdatabasegalore[.]com
\n
o\tpanhardware[.]com
\n
o\tzupertech[.]com
\n
o\tvirtualdataserver[.]com
\n
o\tdigitalcollege[.]org
\n
\u2022\tV\u00e9g\u00fcl, kifejlesztett\u00fck az al\u00e1bb felsorolt IPS szignat\u00far\u00e1kat. Ezek a szignat\u00far\u00e1k \u00e9szlelik a FireEye RedTeam eszk\u00f6z\u00f6k haszn\u00e1lat\u00e1t, valamint az Orion szoftver s\u00e9r\u00fcl\u00e9kenys\u00e9g\u00e9nek a k\u00fcl\u00f6nb\u00f6z\u0151 \u00fczemeltet\u00e9si f\u00e1zisait:
\n
o\thttp:client.69
\n
o\thttp:client:data.153
\n
o\tssl:server:certificate.105
\n
o\ttcpudp:hostname.156
\n
o\thttp:mix.334
\n
o\thttp:mix.335
\n
o\tssl:client:certificate.3
\n<\/p>\n
A 7.2-es verzi\u00f3j\u00fa SES megold\u00e1sunk, illetve a 2.0-\u00e1s verzi\u00f3j\u00fa SES Evolution megold\u00e1sunk m\u00e1r v\u00e9delmet k\u00edn\u00e1l a FireEye Red Team eszk\u00f6z\u00f6k haszn\u00e1lata \u00e9s m\u00e1s olyan malware haszn\u00e1lata ellen, amelyet a s\u00e9r\u00fclt Orion verzi\u00f3 hozott l\u00e9tre \u00e9s hajtott v\u00e9gre a folyamatellen\u0151rz\u00e9si funkci\u00f3k \u00e9s rendszerer\u0151forr\u00e1sok haszn\u00e1lat\u00e1val.
\n
Azonban a jobb incidens\u00e9szlel\u00e9s \u00e9s -kezel\u00e9s \u00e9rdek\u00e9ben integr\u00e1ltunk egy hash adatb\u00e1zist, amely lefedi az \u00f6sszes jelenleg ismert f\u00e1jlt a FireEye Red Team eszk\u00f6z\u00f6kben. \u00d6sszesen 103 hash lett hozz\u00e1adva ehhez a csomaghoz:
justify
no-repeat;left top;;
auto<\/p>\n
justify
no-repeat;left top;;
auto<\/p>\n
2.\t\u00e1bra: Az SES Evolution megold\u00e1sunkba illesztett IP-c\u00edmek szeml\u00e9ltet\u00e9se
\n<\/p>\n
Nyilv\u00e1nval\u00f3an az els\u0151dleges javaslatunk az, hogy patchelni kell a SolarWinds Orion applik\u00e1ci\u00f3j\u00e1t.
\n
K\u00f6vetkez\u0151 l\u00e9p\u00e9sk\u00e9nt ellen\u0151rizze, hogy t\u00f6rt\u00e9nt-e kommunik\u00e1ci\u00f3 az avsvmcloud.com domainnel 2019 okt\u00f3bere \u00f3ta. Ha t\u00f6rt\u00e9nt, ellen\u0151rizze, hogy m\u00e1s szokatlan domainek is kommunik\u00e1ltak-e az Orion alkalmaz\u00e1st hosztol\u00f3 rendszerekkel. Minden esetben hat\u00e1rozottan javasoljuk, hogy m\u00e9lyrehat\u00f3 vizsg\u00e1latot hajtson v\u00e9gre az informatikai rendszerein, az al\u00e1bbi l\u00e9p\u00e9seket k\u00f6vetve:
\n
\u2022\tKapcsoljon le az internetr\u0151l minden potenci\u00e1lisan kompromitt\u00e1lt rendszert;
\n
\u2022\tJelentse az incidenst az illet\u00e9kes hat\u00f3s\u00e1goknak;
\n
\u2022\tTekintse \u00e1t a kiemelt jogosults\u00e1gokkal rendelkez\u0151 accountokat, \u00e9s az innen \u00e9rkez\u0151 aktivit\u00e1sokat;
\n
\u2022\tNyomozza le az elm\u00falt \u00e9v hamis riaszt\u00e1sait, hogy \u00fajra tudja \u00e9rt\u00e9kelni a helyzetet az incidenssel kapcsolatos \u00fajonnan rendelkez\u00e9sre \u00e1ll\u00f3 inform\u00e1ci\u00f3k vonatkoz\u00e1s\u00e1ban;
\n
\u2022\tK\u00f6vessen nyomon \u00e9s monitorozzon minden szokatlan internetes aktivit\u00e1st, \u00e9s sz\u00fcks\u00e9g szerint kapcsoljon \u201ewhitelist\u201d m\u00f3dra, hogy m\u00e9g a biztons\u00e1gosnak \u00edt\u00e9lt domainekhez t\u00f6rt\u00e9n\u0151 internetes hozz\u00e1f\u00e9r\u00e9st is korl\u00e1tozni tudja;
\n
\u2022\t\u00c9s legf\u0151k\u00e9ppen vegyen ig\u00e9nybe professzion\u00e1lis seg\u00edts\u00e9get, ha az \u00f6n csapata nem tud megbirk\u00f3zni az incidenssel.<\/p>\n
Tudjon meg t\u00f6bbet a Sunburst t\u00e1mad\u00e1sr\u00f3l: <\/p>\n
\n
\u2022\tA Solarwinds biztons\u00e1gi tan\u00e1csai: solarwinds.com\/securityadvisory<\/a>
\n
\u2022\tUSA korm\u00e1nyzati ir\u00e1nyelvek: cyber.dhs.gov\/ed\/21-01\/<\/a>
\n
\u2022\tUSA korm\u00e9nyzati CERT: us-cert.cisa.gov\/ncas\/alerts\/aa20-352a<\/a>
\n
\u2022\tA FireEye sajt\u00f3k\u00f6zlem\u00e9nye: fireeye.com\/blog\/products-and-services\/2020\/12\/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html<\/a>
\n
\u2022\tA FireEye r\u00e9szletes elemz\u00e9se: fireeye.com\/blog\/threat-research\/2020\/12\/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html<\/a>
\n
\u2022\tGitHub \u00e9szlel\u00e9si masterek: github.com\/Azure\/Azure-Sentinel\/blob\/master\/Detections\/SigninLogs\/AzureAADPowerShellAnomaly.yaml & github.com\/Azure\/Azure-Sentinel\/blob\/master\/Detections\/AuditLogs\/ADFSDomainTrustMods.yaml<\/a>
\n
\u2022\tA Kaspersky v\u00e9dekez\u00e9si m\u00f3dszere: securelist.com\/how-we-protect-against-sunburst-backdoor\/99959\/<\/a><\/p>\nForr\u00e1s: <\/h5>\n