13 दिसंबर 2020 को, कई विक्रेताओं जैसे FireEye और माइक्रोसॉफ्ट एक राष्ट्र-राज्य के खतरे वाले अभिनेता से उभरते खतरों की सूचना दी, जिन्होंने SolarWinds से समझौता किया, और SUNBURST नामक पिछले दरवाजे के मैलवेयर को वितरित करने के लिए SolarWinds ओरियन व्यवसाय सॉफ़्टवेयर अपडेट को ट्रोजन किया। सोलरविन्ड्स की लोकप्रियता के कारण, हमलों ने कई सरकारी एजेंसियों और कई फॉर्च्यून 500 कंपनियों को प्रभावित किया है। यह हाल में भी दिखाई दिया CISA आपातकालीन निर्देश 20-01.
हमने SUNBURST से डीजीए डोमेन का विश्लेषण किया और 165 अद्वितीय डोमेन पाए जो पिछले दरवाजे के मैलवेयर से प्रभावित थे। उनमें से कुछ पीड़ित हो सकते हैं, और उनमें से कुछ सुरक्षा का पता लगाने या विश्लेषण से संबंधित हो सकते हैं जैसे सैंडबॉक्सिंग। हमने विभिन्न प्रकार के संगठनों (सूचना प्रौद्योगिकी, लोक प्रशासन, शिक्षा, और वित्त और बीमा आदि) पर प्रभावित डोमेन स्पैन को पाया और 25 विभिन्न देशों (अंटार्कटिका को छोड़कर सभी महाद्वीपों को मिलाकर) से संबंधित हैं।
1.0 SolarWinds ओरियन आपूर्ति श्रृंखला समझौता का परिचय
जैसा कि FireEye रिपोर्ट में उल्लेख किया गया है, SolarWinds पर एक राष्ट्र-राज्य खतरा अभिनेता द्वारा हमला किया जा सकता है। लेकिन जो एक रहस्य बना हुआ है। कुछ समाचार लेख अनुमान है कि यह APT29 या कोज़ी बीयर, एक रूसी हैकर समूह से संबंधित है, और विस्तृत साक्ष्य सामने नहीं आया है।
के अनुसार बचाना, सिक्योरिटी रिसर्चर विनोथ कुमार ने एक पासवर्ड खोजा जो SolarWinds अपडेट सर्वर का है, जो 2018 के बाद से जीथब में लीक हो गया है। यह स्पष्ट नहीं है कि हमलावरों ने हमलों में कमजोर पासवर्ड का उपयोग किया है, लेकिन यह SolarWinds अपडेट मुद्रा की कमजोरी को दर्शाता है।
में सोलरविन्ड्स द्वारा दर्ज की गई रिपोर्ट Office 365 के माध्यम से SEC, SolarWinds के ईमेल से समझौता किया जा सकता है और "कंपनी के कार्यालय उत्पादकता उपकरणों में निहित अन्य डेटा तक पहुँच प्रदान कर सकता है।"
SolarWinds ने कहा कि कई के रूप में 18,000 इसके हाई-प्रोफाइल ग्राहकों ने शायद अपने ओरियन उत्पादों के दागी संस्करण को स्थापित किया हो।
2.0 SUNBURST DGA एल्गोरिथ्म और संचार
नेटवर्क स्तर पर, SUNBURST से संबंधित सबसे स्पष्ट IOCs C2 (कमांड और कंट्रोल) चैनल में उपयोग किए जाने वाले डोमेन हैं। यह एक मजबूत पैटर्न के साथ आता है और क्लाउड होस्ट नामों की नकल करता है, जैसे, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, एक डीजीए (डोमेन जेनरेशन एल्गोरिथम) डोमेन।
FireEye और Microsoft रिपोर्ट SUNBURST पिछले दरवाजे के मैलवेयर के बारे में तकनीकी विवरण प्रदान करने वाले पहले लोगों में से हैं। वहाँ से हम जानते हैं, हमलावरों ने दुर्भावनापूर्ण अपडेट को इंजेक्ट किया SolarWinds- Core-v2019.4.5220-Hotfix5.msp। अद्यतन के अंदर, दुर्भावनापूर्ण घटक है सौर.
इस .NET DLL बाइनरी के विश्लेषण के माध्यम से, विभिन्न शोध समूह (रेडड्रिप और प्रेवासियो) डीजीए डोमेन कैसे एन्कोड किए गए हैं, इसके बारे में विवरण के कुछ स्तर का पता चला। समग्र ज्ञान से पता चलता है कि डोमेन एक संरचना का पालन करते हैं:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api। $ {क्षेत्र} .avsvmcloud.com
RSI $ {क्षेत्र} चार मूल्यों में से एक में है:
- यूरोप-पश्चिम -1
- हमें-पश्चिम -2
- हमें पूर्व-1
- हमें पूर्व-2
RSI $ {GUID} भाग मेजबान स्तर की जानकारी के हैश से आता है, इसलिए यह आसानी से प्रतिवर्ती नहीं है।
RSI $ {Encoded_AD_domain} ज्यादातर दिलचस्प है, संबंधित सादे संदर्भ मूल्य दर्शाता है कि मशीन .NET API कॉल के माध्यम से किस डोमेन से संबंधित है:
IPGlobalProperties.GetIPGlobalProperties ()। DomainName
अनिवार्य रूप से एपीआई विंडोज डोमेन का नाम देता है। इसके माध्यम से हम यह जान सकते हैं कि मशीन किस कंपनी की है।
२.१ डेकोड एनकोडेड एडी डोमेन
हम शोध खोज का लाभ उठाते हैं रेडड्रिप और प्रेवासियोडिकोडिंग एल्गोरिदम पर बहाल करने के लिए $ {Encoded_AD_domain}। असल में, हमलावर दो अलग-अलग डिकोडिंग कार्यों को नियोजित करता है: एक एक अनुकूलित BASE32_decode फ़ंक्शन है और दूसरा एक अधिक अनुकूलित पत्र प्रतिस्थापन सिफर है जब डोमेन नाम में केवल कम मामले होते हैं। [०_-]
3.0 संक्रमित डोमेन विश्लेषण
के अनुसार CRN समाचार, SolarWinds ने कहा कि उसके ग्राहकों में यूएस फॉर्च्यून 425 के 500, शीर्ष दस अमेरिकी दूरसंचार कंपनियां, शीर्ष पांच अमेरिकी लेखा फर्म, अमेरिकी सेना की सभी शाखाएं, पेंटागन, विदेश विभाग और साथ ही सैकड़ों विश्वविद्यालय और कॉलेज शामिल हैं। दुनिया भर।
SUNBURST पिछले दरवाजे के हमले में संक्रमित डोमेन का विश्लेषण करने के लिए, हमने कई स्रोतों से डीजीए डोमेन के लिए होस्टनाम का संग्रह किया। एक प्रमुख स्रोत में है Github द्वारा प्रदान की बम्बेनेक परामर्श, और अन्य प्रमुख स्रोत में है बिन चिपकाएँ से प्राप्त किया गया Zetalytics / ज़ोन्क्रंचर.
डिकोड स्क्रिप्ट को एन्कोडेड DGA डोमेन खिलाकर, हमने डीकोड किए गए डोमेन नामों की एक सूची प्राप्त की, जो SUNBURST पिछले दरवाजे के हमले के पीड़ितों द्वारा उत्पन्न की जा सकती थी। इसके बाद, हमने Google खोज के माध्यम से कंपनी / संगठन के नामों को डिकोड किए गए डोमेन नामों को मैन्युअल रूप से मैप करने का प्रयास किया। हम 165 डीकोड किए गए डोमेन नामों को उसकी कंपनी / संगठन के नाम पर मैप करने में सक्षम थे।
अस्वीकरण : यह सत्यापित नहीं किया गया है कि सभी डिकोड किए गए डोमेन मान्य विंडोज डोमेन हैं और वास्तव में पीड़ितों के हैं। यह काफी हद तक मानवीय निर्णय पर आधारित है। हमारी मैनुअल मैपिंग फॉर्म में उनकी कंपनी / संगठन के नाम के लिए डोमेन नाम डिकोड किया गया हो सकता है।
3.1 उद्योग श्रेणी द्वारा पीड़ितों का वितरण
हमने देखा कि पीड़ित कंपनियां / संगठन विभिन्न प्रकार के उद्योगों में फैले हुए हैं। हमने उन्हें विभिन्न श्रेणियों में वर्गीकृत किया NAICS (उत्तर अमेरिकी उद्योग वर्गीकरण प्रणाली) संयुक्त राज्य अमेरिका की जनगणना ब्यूरो से। श्रेणी के अनुसार उनका वितरण चित्र 1 में दिखाया गया है। हमारे पास जो नमूने हैं, उनमें से आईटी कंपनियां, लोक प्रशासन (जैसे, सरकार) और शिक्षा सेवाएं (जैसे, विश्वविद्यालय) SUNBURST पिछले दरवाजे के हमले से सबसे अधिक प्रभावित थे।
चित्र 1: उद्योग श्रेणी द्वारा वितरण।
3.2 देश द्वारा पीड़ितों का वितरण
हमने देखा कि पीड़ित कंपनियां / संगठन 25 विभिन्न देशों के हैं। महाद्वीप द्वारा उनका वितरण चित्र 2 में दिखाया गया है। हमले का प्रभाव दुनिया भर में है।
चित्र 2: महाद्वीप द्वारा पीड़ितों का वितरण।
सबसे ज्यादा पीड़ितों वाले शीर्ष देश हैं:
| देश का नाम | पीड़ित की गिनती |
| संयुक्त राज्य अमेरिका | 110 |
| कनाडा | 13 |
| इजराइल | 5 |
| डेनमार्क | 5 |
| ऑस्ट्रेलिया | 4 |
| यूनाइटेड किंगडम | 4 |
स्टेलर साइबर के साथ सनबर्स्ट के खिलाफ 4.0 रक्षा Open XDR मंच
जबकि SUNBURST एक चोरी और परिष्कृत खतरा है, यह खुद को पहचानने के लिए महत्वपूर्ण निशान छोड़ता है।
सबसे पहले, उद्यमों के लिए कलाकृतियों और निशानों को एक सुरक्षा में रखने के बारे में पता लगाना महत्वपूर्ण है डेटा लेक जैसे Open XDR स्टेलर साइबर का प्लेटफ़ॉर्म। जब हमले की जानकारी मिलती है, तो दुनिया भर की कंपनियाँ ऐतिहासिक डेटा के आधार पर संकेतकों की जाँच करके यह पता लगा सकती हैं कि क्या उनके सिस्टम में सेंध लगी है। सनबर्स्ट जैसे परिष्कृत खतरों के लिए, C2 (कमांड एंड कंट्रोल) डोमेन और IP पते आमतौर पर मजबूत संकेत होते हैं। विशेष रूप से सनबर्स्ट के मामले में, C2 डोमेन में एक पैटर्न होता है। avsvmcloud.com उद्यमों को एक अच्छा NTA (NDR) समाधान तैनात करने की आवश्यकता है जो DNS और अन्य महत्वपूर्ण L7 एप्लिकेशन प्रोटोकॉल के ट्रैफ़िक से महत्वपूर्ण मेटाडेटा लॉग करने में सक्षम है। DNS लॉग के माध्यम से डेटा अंतर्ग्रहण भी सहायक होते हैं, लेकिन यह उन संकेतों को कैप्चर नहीं कर सकता है यदि हमलावर सार्वजनिक DNS जैसे कि Google DNS (8.8.8.8) इत्यादि का उपयोग करता है, इसके अलावा, स्टेल्लर साइबर से उन्नत डीजीए हिरासत और अन्य नेटवर्क स्तर विसंगतियों के साथ, उद्यमों को पहले अज्ञात संदिग्ध संकेत मिल सकते हैं।
दूसरा, नेटवर्क स्तर के संकेतों के साथ-साथ, ईडीआर एंडपॉइंट टेलीमेट्रिक्स भी बहुत महत्वपूर्ण और उपयोगी हैं। Open XDR स्टेलर साइबर के प्लेटफॉर्म की मदद से कंपनियां कंपनी के भीतर संदिग्ध गतिविधियों की पहचान कर सकती हैं और थ्रेट इंटेलिजेंस या अज्ञात संदिग्ध गतिविधियों के माध्यम से सनबर्स्ट जैसे मैलवेयर का पता लगा सकती हैं। स्टेलर साइबर प्लेटफॉर्म कई डेटा स्रोतों से सिग्नल स्टोर और सहसंबंधित कर सकता है और अज्ञात संदिग्ध गतिविधियों का पता लगाने के लिए मशीन लर्निंग आधारित डिटेक्शन का उपयोग करता है।
5.0 निष्कर्ष
इस ब्लॉग में, हमने कुछ सुराग साझा किए कि कैसे SolarWinds हैक हो गए, और डीजीए डोमेन डेटा का विश्लेषण किया, प्रभावित डोमेन पर डेटा अध्ययन दिखाया, साथ ही साथ रक्षा पर कुछ सुझाव भी दिए।
