El 13 de diciembre de 2020, varios proveedores, como FireEye y Microsoft informó sobre amenazas emergentes de un actor de amenazas de un estado-nación que comprometió SolarWinds, y troyanó las actualizaciones del software empresarial SolarWinds Orion para distribuir malware de puerta trasera llamado SUNBURST. Debido a la popularidad de SolarWinds, los ataques han afectado a varias agencias gubernamentales y a muchas empresas de Fortune 500. También apareció en la reciente Directiva de emergencia CISA 20-01.
Analizamos los dominios DGA decodificados de SUNBURST y encontramos 165 dominios únicos que se vieron afectados por el malware de puerta trasera. Algunos de ellos pueden ser víctimas y algunos de ellos pueden estar relacionados con la detección o el análisis de seguridad, como el sandboxing. Encontramos que los dominios afectados abarcan diferentes tipos de organizaciones (incluidas tecnologías de la información, administración pública, educación, finanzas y seguros, etc.) y pertenecen a 25 países diferentes (que abarcan todos los continentes excepto la Antártida).
1.0 Introducción al compromiso de la cadena de suministro de SolarWinds Orion
Como se menciona en el informe FireEye, SolarWinds podría ser atacado por un actor de amenazas de un estado-nación. Pero cuál sigue siendo un misterio. Algunos artículos de noticias Conjetura que está relacionado con APT29 o Cozy Bear, un grupo de piratas informáticos ruso, y la evidencia detallada no se revela.
Según GuardarBreachEl investigador de seguridad Vinoth Kumar descubrió que una contraseña que pertenece al servidor de actualización de SolarWinds se ha filtrado a Github desde 2018. No está claro si los atacantes han utilizado la contraseña débil en los ataques, pero muestra la debilidad de la postura de seguridad de SolarWinds.
En un informe presentado por SolarWinds a SEC, los correos electrónicos de SolarWinds a través de Office 365 podrían haberse visto comprometidos y “pueden haber proporcionado acceso a otros datos contenidos en las herramientas de productividad de la oficina de la Compañía”.
SolarWinds dijo que tantos como 18,000 de sus clientes de alto perfil podría haber instalado una versión contaminada de sus productos Orion.
2.0 Algoritmo y comunicación SUNBURST DGA
A nivel de red, los IOC más obvios relacionados con SUNBURST son los dominios utilizados en el canal C2 (Comando y Control). Viene con un patrón fuerte e imita los nombres de host en la nube, por ejemplo, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, un dominio DGA (Domain Generation Algorithm).
Los informes de FireEye y Microsoft se encuentran entre los primeros en proporcionar detalles técnicos sobre el malware de puerta trasera SUNBURST. Desde allí sabemos, los atacantes inyectaron actualizaciones maliciosas. SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Dentro de la actualización, el componente malicioso es SolarWinds.Orion.Core.BusinessLayer.dll.
Mediante el análisis de este binario .NET DLL, diferentes grupos de investigación (goteo rojo y Prevasio) reveló cierto nivel de detalles sobre cómo se codifican los dominios DGA. La sabiduría general muestra que los dominios siguen una estructura:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
La $ {region} está en uno de los cuatro valores:
- eu-oeste-1
- nosotros-oeste-2
- nosotros-este-1
- nosotros-este-2
La $ {GUID} parte proviene de un hash de información a nivel de host, por lo que no es fácilmente reversible.
La $ {Encoded_AD_domain} es sobre todo interesante, el valor de texto sin formato correspondiente muestra a qué dominio pertenece la máquina a través de la llamada API .NET:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Básicamente, la API devuelve el nombre del dominio de Windows. A través de eso podemos descubrir a qué empresa pertenece la máquina.
2.1 Decodificar dominios AD codificados
Aprovechamos el descubrimiento de la investigación de goteo rojo y Prevasio, en los algoritmos de decodificación para restaurar la $ {Encoded_AD_domain}. Básicamente, el atacante emplea dos funciones de decodificación diferentes: una es una función BASE32_decode personalizada y otra es un cifrado de reemplazo de letras más personalizado cuando el nombre de dominio solo tiene minúsculas más [0_-.]
3.0 Análisis de dominios infectados
Según Noticias CRN, SolarWinds declaró que sus clientes incluían 425 de las Fortune 500 de EE. UU., Las diez principales empresas de telecomunicaciones de EE. UU., Las cinco principales firmas de contabilidad de EE. UU., Todas las ramas de las Fuerzas Armadas de EE. UU., El Pentágono, el Departamento de Estado, así como cientos de universidades y colegios. Mundial.
Para analizar los dominios infectados en el ataque de puerta trasera SUNBURST, recopilamos los nombres de host observados para los dominios DGA de varias fuentes. Una fuente importante está en Github proporcionada por Consultoría Bambenek, y la otra fuente principal está en Papelera de pegar procedente de Zetalytics/Zonecruncher.
Al alimentar los dominios DGA codificados al script de decodificación, obtuvimos una lista de nombres de dominio decodificados, que podrían haber sido generados por las víctimas del ataque de puerta trasera SUNBURST. Después de eso, intentamos asignar manualmente los nombres de dominio decodificados a los nombres de la empresa / organización a través de la búsqueda de Google. Pudimos asignar 165 nombres de dominio decodificados al nombre de su empresa / organización.
AVISO DE RESPONSABILIDAD: No se ha verificado que todos los dominios decodificados sean dominios Windows válidos y efectivamente pertenezcan a las víctimas. Se basa en gran medida en el juicio humano. Nuestro formulario de mapeo manual decodificó los nombres de dominio con los nombres de su empresa / organización podría ser inexacto.
3.1 Distribución de víctimas por categoría de industria
Observamos que las empresas / organizaciones víctimas abarcan diferentes tipos de industrias. Los clasificamos en diferentes categorías en función de la NAICS (Sistema de clasificación de la industria de América del Norte) de la Oficina del Censo de Estados Unidos. Su distribución por categoría se muestra en la Figura 1. De las muestras que tenemos, las empresas de TI, la administración pública (por ejemplo, el gobierno) y los servicios educativos (por ejemplo, universidades) fueron los más afectados por el ataque de puerta trasera SUNBURST.
Figura 1: Distribución de víctimas por categoría de industria.
3.2 Distribución de víctimas por país
Observamos que las empresas / organizaciones víctimas pertenecen a 25 países diferentes. Su distribución por continente se muestra en la Figura 2. El impacto del ataque es mundial.
Figura 2: Distribución de víctimas por continente.
Los principales países con más víctimas son:
| Nombre del país | Recuento de víctimas |
| Estados Unidos | 110 |
| Canada | 13 |
| Israel | 5 |
| Dinamarca | 5 |
| Australia | 4 |
| Reino Unido | 4 |
4.0 Defensa contra SUNBURST con Abrir de Stellar Cyber XDR plataforma
Si bien SUNBURST es una amenaza sigilosa y sofisticada, deja rastros importantes para identificarse.
En primer lugar, es importante que las empresas almacenen los artefactos y los rastros de sus redes en una datos como el Abrir XDR Plataforma de Stellar Cyber. Cuando se conoce el ataque, las empresas a nivel mundial pueden comparar rápidamente los indicadores con los datos históricos para determinar si sufrieron una vulneración. Para amenazas sofisticadas como SUNBURST, los dominios C2 (Comando y Control) y las direcciones IP suelen ser señales sólidas. En el caso particular de SUNBURST, el dominio C2 presenta un patrón de... avsvmcloud.com. Las empresas necesitan implementar una buena solución NTA (NDR) que sea capaz de registrar metadatos importantes del tráfico de DNS y otros protocolos de aplicación L7 importantes. La ingestión de datos a través de registros de DNS también es útil, pero es posible que no capture las señales si el atacante utiliza DNS público como Google DNS (8.8.8.8), etc. Además, con detecciones avanzadas de DGA y otras detecciones de anomalías a nivel de red de Stellar Cyber, el las empresas pueden encontrar señales sospechosas desconocidas antes.
En segundo lugar, la telemetría del punto final EDR también es muy importante y útil, junto con las señales de nivel de red, con Abrir XDR Con la plataforma Stellar Cyber, las empresas pueden identificar movimientos laterales sospechosos dentro de la empresa y detectar malware tipo SUNBURST mediante inteligencia de amenazas o actividades sospechosas desconocidas. La plataforma Stellar Cyber puede almacenar y correlacionar señales de múltiples fuentes de datos y cuenta con detecciones basadas en aprendizaje automático para detectar actividades sospechosas desconocidas.
Conclusiones 5.0
En este blog, compartimos algunas pistas sobre cómo SolarWinds fue pirateado y analizamos los datos del dominio DGA, mostramos el estudio de datos sobre los dominios afectados y brindamos algunas sugerencias sobre defensa.
