O que aprendemos até agora sobre o hack “Sunburst” / SolarWinds
Depois de uma infiltração bem-sucedida na cadeia de suprimentos, o backdoor SunBurst - um arquivo denominado SolarWinds.Orion.Core.BusinessLayer.dll - foi inserido no sistema de distribuição de software e instalado como parte de um pacote de atualização d
Recentemente, foi relatado que uma ação hacker conseguiu se infiltrar em um grande número de organizações - incluindo várias agências governamentais dos Estados Unidos. Eles fizeram isso distribuindo software backdoor, apelidado de SunBurst, ao comprometer o sistema de atualização de software de gerenciamento e monitoramento de TI Orion da SolarWind. Com base nos dados da SolarWind, 33.000 organizações usam o software Orion e 18.000 foram diretamente afetadas por esta atualização maliciosa. À medida que mais e mais detalhes são disponibilizados, fica claro que este é um dos ataques cibernéticos mais evasivos e significativos até hoje.
Durante a semana passada, as equipes de pesquisa do FortiGuard Labs trabalharam incansavelmente para descobrir mais detalhes sobre o ataque para garantir a proteção de nossos clientes, cujos detalhes podem ser encontrados nesse blog de sinais de ameaças no site da Fortinet. Neste blog, você tem mais detalhes sobre o que aprendemos, as proteções atualmente fornecidas pelos produtos de nosso portfólio, bem como as medidas proativas que tomamos ao alavancar nossa plataforma FortiEDR para garantir a segurança de nossos clientes.
Visão geral do SunBurst
Para ajudar os leitores a entender melhor esta campanha, descreveremos em alto nível as etapas executadas pelo malware SunBurst e o ator da ameaça após a infiltração inicial.
Depois de uma infiltração bem-sucedida na cadeia de suprimentos, o backdoor SunBurst - um arquivo denominado SolarWinds.Orion.Core.BusinessLayer.dll - foi inserido no sistema de distribuição de software e instalado como parte de um pacote de atualização do fornecedor. Depois de baixado, ele permanece inativo por 12 a 14 dias antes de qualquer ação. Depois que o período de espera termina, o Backdoor toma medidas para garantir que esteja sendo executado em um dos ambientes visados pelo invasor, ao contrário de uma organização de menor valor, ou em uma sandbox ou outro ambiente de análise de malware. O invasor parece ter desejado ficar o mais longe possível do radar da indústria ao realizar sua missão específica.
Aqui está uma visão geral de alto nível das etapas necessárias para fazer isso:
- Validação do nome de domínio da máquina. Ele verifica o nome de domínio da máquina comprometida para garantir:
- Não contém certas strings;
- Não é um domínio SolarWinds;
- Ele não contém a string "teste".
- Ele valida se nenhuma ferramenta de análise, como o WireShark, está em execução.
- Ele também verifica se o software de segurança indesejado não está em execução.
Depois que todas as validações são concluídas, ele liga para o ator da ameaça e envia informações para identificar a organização violada. Observação : como a maioria das organizações violadas por esse malware NÃO foram alvos do ator da ameaça, é aqui que o ataque parece ter terminado para muitas organizações.
O nome de domínio C2 é composto de um prefixo gerado com base nos dados da máquina. Um exemplo de domínio pode ser visto na Figura 1:

Mitigações proativas da campanha SunBurst
Assim que os IOCs foram divulgados, ou de outra forma descobertos por meio de investigação, o FortiGuard Labs e outras equipes analisaram todos os dados em “Sunburst” e, em seguida, desenvolveram uma estratégia proativa para mitigar o ataque, bem como ajudar as organizações a entender seu impacto.
Conforme mencionado, a maioria das organizações não foi visada e, portanto, a existência do arquivo DLL malicioso não significa necessariamente que o dano real foi causado.
Passos que a Fortinet está tomando para garantir a segurança de nossos clientes:
1. Todos os IOCs publicados e subsequentes foram adicionados imediatamente aos nossos bancos de dados de assinaturas e inteligência em nuvem para garantir a detecção de arquivos maliciosos pelas soluções de segurança da Fortinet, incluindo FortiGate , FortiSIEM , FortiSandbox , FortiEDR , FortiAnalyzer e FortiClient . Conforme novos IOCs são descobertos, eles também são adicionados imediatamente aos nossos bancos de dados.
2. A fim de reconstruir o ataque e obter mais insights e indicadores, as equipes de pesquisa e inteligência do FortiGuard Labs começaram a procurar mais indicadores com base nos dados inicialmente divulgados. Como parte desse esforço, descobrimos e analisamos uma nova variante do TEARDROP. Na Figura 2, você pode ver esta variante TEARDROP ler o cabeçalho jpeg falso e sua principal rotina de descompactação:

3. Também verificamos proativamente nosso data lake FortiEDR Cloud em busca de indicadores para determinar se os clientes podem ter sido violados. Os clientes que foram potencialmente impactados estão sendo contatados.
4. Nossas equipes de pesquisa MDR e FortiEDR também desenvolveram ferramentas que podem ajudar as organizações a entender o escopo de uma violação, caso tenham sido impactadas por este ataque à cadeia de suprimentos. Essas ferramentas estão sendo compartilhadas com os clientes mediante solicitação. Conforme mencionado, a maioria das organizações não foi visada e entender o escopo da violação é fundamental para determinar as etapas de acompanhamento.
Detecção de TEARDROP e CobaltStrike
Além da detecção com base em IOCs específicos, a análise de nossas equipes de pesquisa determinou que a plataforma FortiEDR é e era capaz de proteger dispositivos contra CobaltStrike e TEARDROP - out-of-the-box e sem qualquer conhecimento prévio da ameaça - usando seu tecnologia de rastreamento de código de memória. O FortiEDR provou inúmeras vezes que é capaz de bloquear CobaltStrike em tempo real durante incidentes ao vivo. Um exemplo de tal detecção pode ser visto na Figura 3:

Resumo e recomendações
1. Proteção de endpoint - clientes Fortinet e SolarWinds Orion 2019.4 a 2020.2.1 HF1
a. FortiClient , FortiEDR e FortiGate detectam e bloqueiam a execução desses arquivos maliciosos.
b. Por design, qualquer versão com suporte do FortiEDR detectará e protegerá contra as consequências pós-execução como arma desse ataque pronto para uso. Nenhuma mudança ou atualização para a plataforma é necessária.
i. Certifique-se de definir as políticas de pós-execução para o modo de bloqueio. Isso permitirá que você bloqueie o comportamento malicioso, mesmo se o sistema já estiver comprometido por uma fonte confiável, como este ataque à cadeia de suprimentos.
ii. Aplique políticas contextuais predefinidas que podem permitir ações proativas em caso de atividades maliciosas ou inconclusivas. Nesse caso, essas ações teriam removido o arquivo DLL associado.
c. Se você assina o serviço MDR ou não estava no modo de proteção no momento do ataque, trabalhe com a equipe do MDR para ajudá-lo na busca proativa de ameaças.
2. Proteção de endpoint - clientes não Fortinet e SolarWinds Orion 2019.4 a 2020.2.1 HF1
a. Execute análises forenses para validar a existência de arquivos maliciosos conhecidos com base em IOCs publicados (hashes SHA-1):
d130bd75645c2433f88ac03e73395fba172ef676
76640508b1e7759e548771a5359eaed353bf1eec
2f1a5a7411d015d01aaee4535835400191645023
395da6d4f3c890295f7584132ea73d759bd9d094
1acf3108bf1e376c8848fbb25dc87424f2c2a39c
e257236206e99f5a5c62035c9c59c57206728b28
6fdd82b7ca1c1f0ec67c05b36d14c9517065353b
bcb5a4dcbc60d26a5f619518f2cfc1b4bb4e4387
16505d0b929d80ad1680f993c02954cfd3772207
d8938528d68aabe1e31df485eb3f75c8a925b5d9
c8b7f28230ea8fbf441c64fdd3feeba88607069e
2841391dfbffa02341333dd34f5298071730366a
2546b0e82aecfe987c318c7ad1d00f9fa11cd305
e2152737bed988c0939c900037890d1244d9a30e
b. Ameaça caça sua memória para IOCs procurando TEARDROP ou COBALT STRIKE. As assinaturas YARA relevantes estão listadas aqui no site da Fortinet.
c. Procure arquivos suspeitos descartados com base na linha do tempo das infecções iniciais em sua organização. Um IOC potencial é a existência do seguinte arquivo DLL malicioso:
arquivo c: Windows SysWOW64 netsetupsvc.dll.
d. Se algum desses IOCs for detectado, considere todas as máquinas afetadas - junto com todas as contas de usuário nessas máquinas - como comprometidas. Revogue todas as credenciais da conta e isole os dispositivos para investigação posterior.
Melhores Práticas
Este evento enfatiza a necessidade de melhores práticas quando se trata de manutenção de software e sistemas. Aqui estão três práticas recomendadas de segurança essenciais que toda organização deve adotar:
- Todas as novas atualizações e patches devem ser executados por meio de uma sandbox ou ferramenta de análise semelhante antes de serem implantados para identificar malware e ataques à cadeia de suprimentos. Nesse caso, o FortiSandbox teria identificado o arquivo DLL ofensivo como malicioso e removido-o antes que pudesse impactar a rede.
- A tecnologia avançada de detecção e resposta de endpoint é agora um componente essencial de qualquer estratégia de segurança. A implantação do FortiEDR em endpoints e servidores teria impedido a execução de malwares como CobaltStrike e TEARDROP.
- A segmentação de rede é outra estratégia de segurança crítica necessária para proteger as redes avançadas de hoje. A implantação de um firewall de segmentação como parte de uma estratégia Zero-Trust Network , como a plataforma FortiGate, evitaria que o malware se propagasse pela rede.