Recentemente, várias fontes divulgaram um ataque sofisticado que atingiu organizações por meio de cadeia de suprimentos através de um programa de monitoramento de rede comprometido. Esta postagem discute o que é o backdoor Sunburst e o que você pode fazer agora para atenuar essa ameaça.

O que é Sunburst?

Sunburst é um backdoor sofisticado que permite a um invasor controle quase total do sistema afetado. No entanto, ele tem várias peculiaridades em seu comportamento.

Antes de ser executado, ele verifica se o hash do nome do processo e uma chave de registro foram configurados para valores específicos. Ele, ainda, irá rodar apenas se o tempo de execução for doze ou mais dias após o sistema ter sido infectado pela primeira vez. Por fim, só será executado em sistemas que foram anexados a um domínio. Este conjunto específico de circunstâncias torna a análise por pesquisadores mais difícil, entretanto,  também limita o alcance de suas vítimas em algum grau.

Ele se conecta de volta ao seu servidor de comando e controle por meio de vários domínios, que assumem o seguinte formato:

{random strings}.appsync-api.{subdomain}.avsvmcloud.com

O subdomínio é uma das seguintes strings:

• eu-west-1

•  eu-west-2

• us-east-1

• us-east-2

Uma vez que conseguiu entrar, o Sunburst pode reunir informações sobre o sistema afetado e executar vários comandos. As informações coletadas incluem:

• Nome do domínio
• Interfaces de rede
• Processos/serviços em execução
• Drivers instalados

Essas informações coletadas são usadas para gerar um ID de usuário para a máquina afetada ou para verificar as listas de bloqueio – se determinados drivers, processos ou serviços forem encontrados na máquina, o backdoor deixará de funcionar.

Os comandos que podem ser executados incluem:

•         Operações de registro (ler, gravar e excluir chaves/entradas de registro)
•         Operações de arquivo (ler, gravar e excluir arquivos)
•         Executar/parar processos
•         Reinicializar o sistema

Quem é afetado?

Acredita-se que o Sunburst foi entregue por meio de uma versão trojanizada do aplicativo de monitoramento de rede Orion. De acordo com os arquivos da SolarWinds na SEC, os agentes de ameaças inseriram o código malicioso em um código legítimo, o que significa que qualquer pessoa que baixou o software estava em risco. Isso foi feito como parte do processo de construção; o repositório de código-fonte não foi afetado.

De acordo com o arquivamento da SolarWinds SEC, essa versão trojanizada foi baixada por menos de 18.000 clientes de março a junho de 2020. Uma vez que esse código malicioso está presente em um sistema, ele executa o comportamento descrito na primeira parte deste post. Várias organizações, incluindo agências governamentais dos EUA, relataram que foram afetadas por esta campanha.

Soluções

Em um comunicado de segurança, a SolarWinds aconselhou todos os seus clientes afetados a atualizar imediatamente seu software para versões que não contivessem o código malicioso. O comunicado também lista os produtos apropriados e suas versões.

Além disso, o Departamento de Segurança Interna dos Estados Unidos, em uma diretiva às agências do governo do próprio país, ordenou que os sistemas com o referido software fossem colocados off-line e não reconectados às redes até que fossem reconstruídos. A diretiva avisa as agências para lidar com essas máquinas como comprometidas, e para também alterar as credenciais usadas por estas máquinas. As organizações que usam o SolarWinds Orion em sua rede podem considerar etapas semelhantes.

Os arquivos maliciosos associados a este ataque já foram detectados pelos produtos Trend Micro apropriados como Backdoor.MSIL.SUNBURST.A e Trojan.MSIL.SUPERNOVA.A. Além disso, todo o domínio avsvmcloud.com foi bloqueado. Se organizações acreditarem que podem ter sido afetadas por esta campanha, os seguintes produtos da Trend Micro são capazes de auxiliar na realização de varreduras abrangentes de redes/sistemas internos a fim de determinar o escopo de qualquer dano, caso haja algum:

• O Trend Micro XDR for Users aplica IA e análises para detecção antecipada de ameaças em endpoints e outras camadas do sistema.
•   O Trend Micro Apex One™ fornece insights acionáveis, recursos investigativos expandidos e visibilidade centralizada em toda a rede.

Indicadores de comprometimento

Os seguintes hashes estão associados a esta campanha e são detectados pelos produtos da Trend Micro:

Os seguintes nomes de domínio estão associados a esta campanha e também estão bloqueados:

• avsvmcloud[.]com
• databasegalore[.]com
• deftsecurity[.]com
• highdatabase[.]com
• incomeupdate[.]com
• panhardware[.]com
• thedoccloud[.]com
• zupertech[.]com

Para ver as atualizações mais recentes da Trend Micro a respeito do Sunburst, acesse nossa Knowledge Base.