في 13 ديسمبر 2020 ، قام العديد من البائعين مثل FireEye و مایکروسوفت أبلغت عن تهديدات ناشئة من جهة فاعلة تهدد دولة قومية قامت بخرق SolarWinds ، وتحديثات برامج الأعمال التجارية SolarWinds Orion التي تحتوي على طروادة من أجل توزيع برامج ضارة مستترة تسمى SUNBURST. بسبب شعبية SolarWinds ، أثرت الهجمات على العديد من الوكالات الحكومية والعديد من شركات Fortune 500. كما ظهرت في الآونة الأخيرة توجيه الطوارئ CISA 20-01.
قمنا بتحليل مجالات DGA التي تم فك تشفيرها من SUNBURST ووجدنا 165 نطاقًا فريدًا تأثرت بالبرامج الضارة ذات الباب الخلفي. قد يكون بعضهم ضحايا ، وبعضهم قد يكون مرتبطًا بالكشف أو التحليل الأمني مثل وضع الحماية. وجدنا أن المجالات المتأثرة تمتد عبر أنواع مختلفة من المنظمات (بما في ذلك تكنولوجيا المعلومات والإدارة العامة والتعليم والتمويل والتأمين وما إلى ذلك) وتنتمي إلى 25 دولة مختلفة (تمتد إلى جميع القارات باستثناء القارة القطبية الجنوبية).
1.0 مقدمة لحل وسط سلسلة التوريد SolarWinds Orion
كما هو مذكور في تقرير FireEye ، قد تتعرض SolarWinds للهجوم من قبل ممثل تهديد الدولة القومية. لكن أي واحد يبقى لغزا. بعض المقالات الإخبارية تخمين أنها مرتبطة بـ APT29 أو Cozy Bear ، وهي مجموعة قراصنة روسية ، ولم يتم الكشف عن الأدلة التفصيلية.
ووفقاً لوكالة حفظ الاختراقاكتشف الباحث الأمني ، فينوث كومار ، أن كلمة مرور خاصة بخادم تحديث SolarWinds قد تم تسريبها إلى Github منذ عام 2018. ومن غير الواضح ما إذا كان المهاجمون قد استخدموا كلمة المرور الضعيفة في الهجمات ، لكنه يُظهر ضعف الوضع الأمني لـ SolarWinds.
في باقة تقرير مقدم من SolarWinds إلى SEC ، ربما تم اختراق رسائل البريد الإلكتروني الخاصة بـ SolarWinds عبر Office 365 و "ربما وفرت الوصول إلى البيانات الأخرى الموجودة في أدوات إنتاجية مكتب الشركة."
قال SolarWinds ما يصل إلى 18,000 من عملائها البارزين ربما قاموا بتثبيت نسخة ملوثة من منتجات Orion الخاصة بهم.
2.0 خوارزمية SUNBURST DGA والتواصل
على مستوى الشبكة ، فإن أكثر بطاقات IOC وضوحًا المتعلقة بـ SUNBURST هي المجالات المستخدمة في قناة C2 (الأوامر والتحكم). يأتي بنمط قوي ويحاكي أسماء مضيف السحابة ، على سبيل المثال ، 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, مجال DGA (خوارزمية إنشاء المجال).
تعد تقارير FireEye و Microsoft من بين أولى التقارير التي قدمت تفاصيل تقنية بخصوص البرمجيات الخبيثة المستترة SUNBURST. من هناك نعلم ، أدخل المهاجمون تحديثًا ضارًا SolarWinds-Core-v2019.4.5220-Hotfix5.msp. داخل التحديث ، المكون الضار هو SolarWinds.Orion.Core.BusinessLayer.dll.
من خلال تحليل ملف .NET DLL الثنائي ، مجموعات بحثية مختلفة (ريد دريب و بريفاسيو) كشف عن مستوى معين من التفاصيل المتعلقة بكيفية تشفير مجالات DGA. توضح الحكمة الكلية أن المجالات تتبع هيكلًا:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {region} .avsvmcloud.com
استخدم $ {المنطقة} في إحدى القيم الأربع:
- الاتحاد الأوروبي الغرب -1
- الولايات المتحدة الغرب 2
- لنا شرق-1
- لنا شرق-2
استخدم {GUID} دولار يأتي الجزء من تجزئة معلومات مستوى المضيف ، لذلك لا يمكن عكسها بسهولة.
استخدم $ {Encoded_AD_domain} من المثير للاهتمام في الغالب ، تعرض قيمة النص العادي المقابلة المجال الذي ينتمي إليه الجهاز من خلال استدعاء .NET API:
IPGlobalProperties.GetIPGlobalProperties (). اسم المجال
تقوم واجهة برمجة التطبيقات (API) بشكل أساسي بإرجاع اسم مجال Windows. من خلال ذلك يمكننا اكتشاف الشركة التي تنتمي إليها الآلة.
2.1 فك ترميز مجالات AD
نستفيد من اكتشاف البحث من ريد دريب و بريفاسيو، على خوارزميات فك التشفير لاستعادة ملف $ {Encoded_AD_domain}. بشكل أساسي ، يستخدم المهاجم وظيفتين مختلفتين لفك التشفير: إحداهما هي وظيفة BASE32_decode مخصصة والأخرى عبارة عن تشفير بديل للحروف أكثر تخصيصًا عندما يكون لاسم المجال فقط حالات صغيرة زائد [0_-.]
3.0 تحليل المجالات المصابة
ووفقاً لوكالة أخبار CRNذكرت شركة SolarWinds أن عملاءها يشملون 425 من قائمة Fortune 500 الأمريكية ، وأكبر عشر شركات اتصالات أمريكية ، وخمس شركات محاسبة أمريكية ، وجميع فروع الجيش الأمريكي ، والبنتاغون ، ووزارة الخارجية ، بالإضافة إلى مئات الجامعات والكليات. في جميع أنحاء العالم.
لتحليل المجالات المصابة في هجوم SUNBURST Backdoor ، قمنا بجمع أسماء المضيف المرصودة لنطاقات DGA من مصادر متعددة. مصدر واحد رئيسي في جيثب التي تقدمها بامبنيك للاستشارات، والمصدر الرئيسي الآخر في حاوية لصق مصدرها زيتاليتيكس / زونكرونشر.
من خلال تغذية مجالات DGA المشفرة إلى نص فك التشفير ، حصلنا على قائمة بأسماء المجالات التي تم فك ترميزها ، والتي كان من الممكن إنشاؤها بواسطة ضحايا هجوم SUNBURST الخلفي. بعد ذلك ، قمنا بمحاولة لتعيين أسماء النطاقات التي تم فك ترميزها يدويًا لأسماء الشركة / المؤسسة من خلال بحث Google. تمكنا من تعيين 165 اسم نطاق تم فك ترميزه إلى اسم الشركة / المنظمة.
إخلاء مسؤولية: لم يتم التحقق من أن جميع المجالات التي تم فك ترميزها هي مجالات Windows صالحة وتنتمي بالفعل إلى الضحايا. يعتمد إلى حد كبير على الحكم البشري. يمكن أن يكون نموذج التعيين اليدوي الخاص بنا الذي تم فك ترميزه لأسماء الشركات / المؤسسات الخاصة بهم غير دقيق.
3.1 توزيع الضحايا حسب فئة الصناعة
لاحظنا أن الشركات / المنظمات الضحية تمتد عبر أنواع مختلفة من الصناعات. قمنا بتصنيفها إلى فئات مختلفة بناءً على NAICS (نظام تصنيف الصناعة في أمريكا الشمالية) من مكتب تعداد الولايات المتحدة. يظهر توزيعها حسب الفئة في الشكل 1. من العينات التي لدينا ، تأثرت شركات تكنولوجيا المعلومات والإدارة العامة (على سبيل المثال ، الحكومة) والخدمات التعليمية (على سبيل المثال ، الجامعات) بهجوم SUNBURST الخلفي.
الشكل 1: توزيع الضحايا حسب فئة الصناعة.
3.2 توزيع الضحايا حسب الدولة
لاحظنا أن الشركات / المنظمات الضحية تنتمي إلى 25 دولة مختلفة. يظهر توزيعها حسب القارة في الشكل 2. تأثير الهجوم في جميع أنحاء العالم.
الشكل 2: توزيع الضحايا حسب القارة.
الدول التي شهدت أكبر عدد من الضحايا هي:
| اسم الدولة | عدد الضحايا |
| الولايات المتحدة | 110 |
| كندا | 13 |
| إسرائيل | 5 |
| الدنمارك | 5 |
| أستراليا | 4 |
| المملكة المتحدة | 4 |
4.0 دفاع ضد هجوم SUNBURST باستخدام Stellar Cyber's Open XDR المنصة
في حين أن SUNBURST يمثل تهديدًا خفيًا ومعقدًا ، إلا أنه يترك آثارًا مهمة للتعرف على نفسه.
أولاً ، من المهم للمؤسسات تخزين القطع الأثرية والآثار المتعلقة بشبكاتها في ورقة مالية بحيرة البيانات مثل Open XDR منصة من شركة ستيلار سايبر. عند اكتشاف الهجوم، يمكن للمؤسسات حول العالم التحقق بسرعة من المؤشرات ومقارنتها بالبيانات التاريخية لتحديد ما إذا كانت قد تعرضت للاختراق. بالنسبة للتهديدات المعقدة مثل SUNBURST، تُعد نطاقات التحكم والسيطرة (C2) وعناوين IP عادةً مؤشرات قوية. بالنسبة لـ SUNBURST تحديدًا، يتميز نطاق التحكم والسيطرة بنمط معين. avsvmcloud.com. تحتاج الشركات إلى نشر حل NTA (NDR) جيد قادر على تسجيل البيانات الوصفية المهمة من حركة مرور DNS وبروتوكولات تطبيقات L7 المهمة الأخرى. يعد استيعاب البيانات من خلال سجلات DNS مفيدًا أيضًا ، ولكنه قد لا يلتقط الإشارات إذا كان المهاجم يستخدم DNS العام مثل Google DNS (8.8.8.8) وما إلى ذلك. علاوة على ذلك ، مع اكتشافات DGA المتقدمة وغيرها من اكتشافات الشذوذ على مستوى الشبكة من Stellar Cyber ، قد تجد الشركات إشارات مشبوهة غير معروفة في وقت سابق.
ثانيًا، تُعدّ بيانات القياس عن بُعد لنقاط نهاية نظام الكشف والاستجابة لنقاط النهاية (EDR) مهمة ومفيدة للغاية، إلى جانب إشارات مستوى الشبكة، مع Open XDR بفضل منصة Stellar Cyber، تستطيع المؤسسات تحديد التحركات الجانبية المشبوهة داخل الشركة واكتشاف البرامج الضارة الشبيهة بـ SUNBURST من خلال معلومات التهديدات أو الأنشطة المشبوهة غير المعروفة. تتميز منصة Stellar Cyber بقدرتها على تخزين الإشارات من مصادر بيانات متعددة وربطها ببعضها، كما أنها مزودة بتقنيات كشف تعتمد على التعلم الآلي لاكتشاف الأنشطة المشبوهة غير المعروفة.
الاستنتاجات 5.0
في هذه المدونة ، شاركنا بعض الأدلة حول كيفية اختراق SolarWinds ، وقمنا بتحليل بيانات مجال DGA ، وأظهرنا دراسة البيانات حول المجالات المتأثرة ، بالإضافة إلى تقديم بعض الاقتراحات حول الدفاع.
