Security Week 52: управление атакой SunBurst через DNS-запросы

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.
Атака SunBurst (в некоторых источниках также известная как Solorigate) — широко обсуждаемая новость недели. В воскресенье 13 декабря специалисты компании FireEye опубликовали предварительный отчет об атаке, назвав ее глобальной операцией по внедрению в крупные частные и государственные организации. Среди пострадавших — госструктуры США, телеком-провайдеры и некоммерческие организации. Первопричиной атаки стал взлом серверов компании SolarWinds — в ПО производителя, предназначенное для управления и мониторинга IT-инфраструктуры, злоумышленники внедрили вредоносный код.



С марта по июнь этого года вредоносная библиотека с цифровой подписью разработчика раздавалась с серверов обновления SolarWinds и таким образом добралась до 18 тысяч клиентов компании. Зараженный модуль был настроен так, чтобы обеспечить максимальную скрытность, и только избранные жертвы попадали в список для следующей стадии атаки. Набор бэкдоров использовали для шпионажа (а не, скажем, установки шифровальщика с последующим вымогательством). Атакующие анализировали инфраструктуру пострадавших организаций, а также перенаправляли электронные сообщения на свои серверы.

Это сложная таргетированная атака, разбор которой пока лишь начинается: в отчетах FireEye, «Лаборатории Касперского» и Microsoft раскрыта далеко не вся схема работы вредоносного кода. Но определенно это одна из самых успешных атак на цепочку поставок с идеально подобранной точкой входа в корпоративную инфраструктуру.

Источники:
— Отчет компании FireEye: общий обзор таргетированной атаки.
— Отчет Microsoft: более подробный разбор вредоносного кода, распространявшегося с серверов SolarWinds.
— Публикация «Лаборатории Касперского»: разбор схемы работы с командным сервером через DNS-запросы.
— Статья на сайте компании Volexity: примеры PowerShell-кода для распространения по внутренней сети компании-жертвы, возможная связь с более ранними атаками.
— Заявление и FAQ компании SolarWinds об инциденте.
— Новости по теме на сайте Threatpost: о взломе SolarWinds, об обнаружении вредоносного модуля в сетях Microsoft, о пострадавших в госсекторе США (по публикациям СМИ).

В октябре этого года в рамках конференц-звонка с инвесторами гендиректор SolarWinds заявил, что ни у одной другой компании нет такого уровня доступа к инфраструктуре большого количества крупных организаций. Это же сделало компанию очевидной целью для взлома. Платформа SolarWinds Orion предназначена для централизованного управления и мониторинга IT-инфраструктуры предприятия, а значит, это ПО имеет практически неограниченный доступ ко всем корпоративным сервисам. Атакующие взломали библиотеку SolarWinds.Orion.Core.BusinessLayer.dll, входящую в состав более десятка программных решений. Файлы с бэкдором несколько месяцев распространялись с официального сервера обновлений вендора и были снабжены легитимной цифровой подписью. Как так вышло, пока точно не известно. Скорее всего, имел место набор уязвимых мест.



Сам вредоносный код написан таким образом, чтобы обеспечить максимальную скрытность — так, первая коммуникация с командным сервером происходит через две недели после установки бэкдора. Общую схему атаки на начальной стадии приводят эксперты компании Microsoft. Используется достаточно интересная технология отбора перспективных жертв: данные от бэкдора отправляются на C&C-сервер в составе DNS-запроса. Если организация представляет интерес, приходит ответный запрос, направляющий бэкдор на второй командный сервер, и уже в процессе взаимодействия с ним идет кража данных. Скорее всего, из 18 тысяч потенциальных жертв на деле пострадали десятки компаний.

В статье экспертов «Лаборатории Касперского» взаимодействие через DNS-запросы разбирается подробнее, в том числе метод шифрования данных. Расшифровка информации позволяет определить сетевой домен реальных жертв. Среди сотни пострадавших в 17 странах, идентифицированных специалистами «Лаборатории Касперского», ни одна не прошла первоначальный фильтр атакующих. Эксперты Microsoft идентифицировали 40 жертв атаки.

Компании, использующие ПО SolarWinds, в данный момент должны получить обновленное ПО от производителя. Набор индикаторов вредоносной активности опубликован на GitHub компании FireEye.
Источник: https://habr.com/ru/company/kaspersky/blog/534290/


Интересные статьи

Интересные статьи

Я активно интересуюсь роботами, и недавно сделал двуногого робота под управлением Arduino. После этого я захотел сделать четвероногого робота, имитирующего таких животных, как собаки ...
Существует традиция, долго и дорого разрабатывать интернет-магазин. :-) Лакировать все детали, придумывать, внедрять и полировать «фишечки» и делать это все до открытия магазина.
Одной из самых знаменитых способностей Супермена является суперзрение, которое позволяло ему рассматривать атомы, видеть в темноте и на огромное расстояние, а еще видеть сквозь предметы. Эту ...
Привет, глубокоуважаемые! Сегодня мы опять будем передавать картинку ультразвуком через воду: буквально увидим реверберацию и эхо, и даже то, как они меняются в зависимости от условий. Все о ч...
Недавно я рассказала о докладах, которые сформировали программу конференции про управление знаниями в IT компаниях KnowledgeConf. Но не докладами едиными, все таки самое важное на конференции — э...