• تعداد بازدید : 248
تهدیدات سایبری

قدرت نفوذ مهاجم

 

مهاجم‌های گریزان SolarWinds  برای نمایش قدرت نفوذ خود و ایجاد یک زنجیره جهت به خطر انداختن چندین قربانی در سرار جهان، از  SUNBURST Backdoor استفاده می‌کند.

خلاصه اجرایی

  • یک کمپین نفوذ جهانی کشف شده است. اعضاء این کمپین به عنوان UNC2452 ردیابی میشود.
  • FireEye به منظور توزیع بدافزارهایی که SUNBURST می‌نامد، این حمله را به عنوان حمله زنجیره تامین شناخته است که باعث جنجالی شدن به روزرسانی نرم افزار تجاری SolarWinds Orion می‌شود.
  • مهاجم از چندین روش برای فرار از شناسایی و پنهان کردن فعالیت‌هایش استفاده میکند، اما با وجود این تلاش‌ها همچنان فرصت هایی برای شناسایی وجود دارد.
  • این کمپین گسترده است و بر سازمان‌های دولتی و خصوصی در سراسر جهان تأثیر می گذارد.
  • FireEye در حال جمع آوری امضا جهت شناسایی اعضاء تهدید و حمله زنجیره تامین، در طبیعت است. محصولات و خدمات FireEye می‌تواند به مشتریان در شناسایی و جلوگیری از این حمله کمک کند.

خلاصه

FireEye یک کمپین گسترده را کشف کرده است که ما آن را به عنوان UNC2452 ردیابی می کنیم. اعضاء این کمپین به بسیاری از سازمانهای دولتی و خصوصی در سراسر جهان دسترسی پیدا کردند.

آنها از طریق بروزرسانی هایی که توسط نرم افزار تروجان انجام شده، نظارت و مدیریت فناوری اطلاعات SolarWinds Orion به قربانیان دسترسی پیدا کردند. این کمپین ممکن است از اوایل بهار 2020 آغاز شده باشد و در حال حاضر ادامه دارد. فعالیت پس از سازش در زنجیره تامین شامل حرکت جانبی و سرقت داده‌ها می‌باشد. این کمپین کار یک تیم بسیار ماهر است و این عملیات با امنیت عملیاتی قابل توجهی انجام شده است.

 

SUNBURST Backdoor

SolarWinds.Orion.Core.BusinessLayer.dll یک جز component SolarWinds است که به صورت دیجیتالی از چارچوب نرم افزار Orion امضا شده است و شامل یک درب پشتی است که از طریق HTTP به سرورهای شخص ثالث ارتباط برقرار می‌کند.

ما در حال پیگیری نسخه تروجان شده این پلاگین SolarWinds Orion به عنوان SUNBURST هستیم.

پس از یک دوره خاموش اولیه، تا دو هفته، دستوراتی را به نام "مشاغل" بازیابی و اجرا می کند که شامل امکان انتقال پرونده ها، اجرای فایلها، نمایه سازی سیستم، راه اندازی مجدد دستگاه و غیرفعال کردن خدمات سیستم است.

این بدافزار ترافیک شبکه خود را به عنوان پروتکل Orion Improvement Program (OIP) مخفی می‌کند و نتایج شناسایی را در پرونده‌های پیکربندی پلاگین قانونی، ذخیره می‌کند و به آن اجازه می دهد تا با فعالیت قانونی SolarWinds ترکیب شود.  Backdoor از چندین بلاک لیست مبهم استفاده می‌کند تا ابزارهای پزشکی قانونی و ضد ویروس را که به عنوان فرایندها‌، خدمات و درایورها در حال اجرا هستند‌، شناسایی کند.

 

 

چندین به روزرسانی trojanzied به صورت دیجیتالی امضا شده و در وب سایت سولارویندز به روز رسانی شده است.

فایل به روزرسانی تروجان شده یک فایل پچ استاندارد نصب کننده ویندوز است که شامل منابع فشرده شده مرتبط با به روزرسانی ، از جمله تروجان شده SolarWinds است.

 

موقعیت قربانیان سراسر دنیا:

FireEye این فعالیت را در چندین نهاد در سراسر جهان شناسایی کرده است. قربانیان شامل دولت‌، مشاوره‌، فناوری‌، مخابرات و نهادهای استخراج در آمریکای شمالی‌، اروپا‌، آسیا و خاورمیانه بوده‌اند.

پیش بینی می‌شود که قربانیان بیشتری در کشورهای دیگر وجود داشته باشد. FireEye به همه نهادهایی که تحت تأثیر قرار خواهند گرفت، اطلاع داده است.

ارسال فعالیت سازش و فرصت‌ تشخیص:

در حال حاضر سازش زنجیره تأمین نرم افزار و فعالیت مربوط به پس از نفوذ، به عنوان UNC2452 ردیابی می‌شود. پس از دستیابی اولیه، این گروه از روش‌های مختلفی برای پنهان کردن عملیات خود در حالی که به صورت جانبی حرکت می‌کند، استفاده می‌کند. این مهاجم ترجیح می‌دهد ردپای بدافزار سبک خود را حفظ کند‌، در عوض اعتبار قانونی و دسترسی از راه دور را برای دسترسی به محیط قربانی بدست آورد.

این بخش تکنیک های قابل توجه را شرح می دهد و فرصت‌های بالقوه برای شناسایی را توضیح می‌دهد.

چندین نمونه SUNBURST بازیابی شده‌اند. حداقل در یک نمونه‌، مهاجمان یک قطره چکان حافظه که قبلاً دیده نشده بود، ارسال کردند که ما TEARDROP را برای استقرار Cobalt Strike BEACON لقب داده‌ایم.

 

مهاجم نام‌های میزبان را بر اساس زیرساخت فرمان و کنترل خود تنظیم می‌کند تا با عنوان میزبان قانونی، که در محیط قربانی یافت می‌شود مطابقت داشته باشد. این به مهاجم اجازه می دهد تا با محیط مخلوط شود‌ بنابراین از سوءظن جلوگیری کرده و از شناسایی فرار می‌کند.

 

 

فرصت تشخیص

زیرساخت مهاجم، hostnames پیکربندی شده خود را در گواهینامه‌های RDP SSL نشت می‌کند که در داده‌های اسکن در سطح اینترنت قابل شناسایی است. این یک فرصت شناسایی برای مدافعان است - جستجوی منابع داده‌ اسکن شده در اینترنت برای hostnames سازمان می تواند آدرس‌های IP مخربی را کشف کند که ممکن است به عنوان سازمان مورد استفاده قرار گیرند.

(توجه: تاریخچه اسکن IP، معمولاً جابجایی IP ها بین hostnames پیش فرض (WIN- *) و hostnames قربانی را نشان می دهد) ارجاع متقابل به لیست IP های شناسایی شده در داده‌های اسکن اینترنتی با گزارش‌های دسترسی از راه دور‌، ممکن است شواهد این بازیگر را در یک محیط شناسایی کند. به احتمال زیاد برای هر آدرس IP یک حساب واحد وجود دارد.

 

تجزیه و تحلیل عمیق بدافزار

 SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) یک جز پلاگین امضا شده توسط SolarWinds از چارچوب نرم افزار Orion است که شامل یک backdoor سرهم شده است که از طریق HTTP به سرورهای شخص ثالث ارتباط برقرار می‌کند. پس از یک دوره خاموش اولیه تا دو هفته، دستوراتی را به نام "مشاغل" بازیابی و اجرا می‌کند که شامل توانایی انتقال و اجرای پرونده‌ها، نمایه‌سازی سیستم و غیرفعال کردن خدمات سیستم است.  رفتار backdoor و پروتکل شبکه با فعالیت قانونی SolarWinds ترکیب می‌شود ، از جمله با نقاب زدن به پروتکل Orion Improvement Program (OIP) و ذخیره نتایج شناسایی در پرونده‌های پیکربندی پلاگین می‌باشد. Backdoor از چندین بلاک لیست برای شناسایی ابزارهای پزشکی قانونی و ضد ویروس از طریق پردازش‌ها، سرویس‌ها و درایورها استفاده می‌کند.

  • الگوریتم ایجاد دامنه DomainName (DGA) برای تغییر درخواست های DNS انجام می‌شود
  •  پاسخ های CNAME برای اتصال بدافزار به دامنه C2 اشاره می‌کنند
  •  بلوک IP پاسخ های رکورد ، رفتار بدافزار را کنترل می‌کند
  •   نام دامنه دستگاه رمزگذاری شده DGA ، برای هدف قرار دادن انتخابی قربانیان استفاده می‌شود
  • به عنوان برنامه قانونی بهبود Orion ، جادوگران ترافیکی را کنترل و کنترل کنید
  •  با استفاده از نام متغیرهای جعلی و گره زدن به اجزاء و کدهای قانونی در سایت به سادگی پنهان می‌شود

 

تحویل و نصب

سرپرستان مجاز سیستم از طریق بسته‌های توزیع شده توسط وب سایت SolarWinds‌، به روزرسانی‌های SolarWinds Orion را واکشی و نصب می کنند. بسته به روزرسانی CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp (02af7cec58b9a5da1c542b5a32151ba1) حاوی SolarWinds.Orion.Core است.

BusinessLayer.dll در این گزارش شرح داده شده است. پس از نصب ، چارچوب نرم افزار Orion برنامه .NET SolarWinds.BusinessLayerHost.exe را برای بارگیری افزونه ها از جمله SolarWinds.Orion.Core.BusinessLayer.dll اجرا می کند. این افزونه شامل بسیاری از فضاهای نامی‌، کلاس‌ها و روال‌های قانونی است که عملکردها را در چارچوب Orion پیاده سازی می‌کند.

در دید ساده پنهان شده است‌، کلاس SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer یک Backdoor مبتنی بر HTTP را پیاده سازی می‌کند.

در SolarWinds.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager.RefreshInternal معمول منطبق و منطبق بر کد‌، در هنگام بارگذاری پلاگین Inventory Manager ، کد Backdoor را فراخوانی می کند.

امتیاز :  ۵.۰۰ |  مجموع :  ۱

برچسب ها

    5.7.4.0
    V5.7.4.0