Методы обнаружения взломанного SolarWinds

Дата: 22.12.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Методы обнаружения взломанного SolarWinds

Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году.

Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..

Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем). К чести компании FireEye — она вообще смогла обнаружить такую сложную атаку. У других компаний такие трояны живут годами.

Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.

В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:

— В IPS уже есть сигнатуры 

— В модуле анализа DNS есть индикаторы (IoC) центров управления.

— В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).

— В продуктах класса SOAR уже есть playbook для работы с SolarBurst. Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно.

— И также есть сервисы, когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.

Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *