Uma visão geral dos recentes ataques direcionados Sunburst

Recentemente, várias fontes divulgaram um ataque sofisticado que atingiu organizações por meio de cadeia de suprimentos através de um programa de monitoramento de rede comprometido. Esta postagem discute o que é o backdoor Sunburst e o que você pode fazer agora para atenuar essa ameaça.

O que é Sunburst?

Sunburst é um backdoor sofisticado que permite a um invasor controle quase total do sistema afetado. No entanto, ele tem várias peculiaridades em seu comportamento.

Antes de ser executado, ele verifica se o hash do nome do processo e uma chave de registro foram configurados para valores específicos. Ele, ainda, irá rodar apenas se o tempo de execução for doze ou mais dias após o sistema ter sido infectado pela primeira vez. Por fim, só será executado em sistemas que foram anexados a um domínio. Este conjunto específico de circunstâncias torna a análise por pesquisadores mais difícil, entretanto,  também limita o alcance de suas vítimas em algum grau.

Ele se conecta de volta ao seu servidor de comando e controle por meio de vários domínios, que assumem o seguinte formato:

{random strings}.appsync-api.{subdomain}.avsvmcloud.com

O subdomínio é uma das seguintes strings:

  • eu-west-1
  •  eu-west-2
  • us-east-1
  • us-east-2

Uma vez que conseguiu entrar, o Sunburst pode reunir informações sobre o sistema afetado e executar vários comandos. As informações coletadas incluem:

  • Nome do domínio
  • Interfaces de rede
  • Processos/serviços em execução
  • Drivers instalados

Essas informações coletadas são usadas para gerar um ID de usuário para a máquina afetada ou para verificar as listas de bloqueio se determinados drivers, processos ou serviços forem encontrados na máquina, o backdoor deixará de funcionar.

Os comandos que podem ser executados incluem:

  •         Operações de registro (ler, gravar e excluir chaves/entradas de registro)
  •         Operações de arquivo (ler, gravar e excluir arquivos)
  •         Executar/parar processos
  •         Reinicializar o sistema

 

Quem é afetado?

Acredita-se que o Sunburst foi entregue por meio de uma versão trojanizada do aplicativo de monitoramento de rede Orion. De acordo com os arquivos da SolarWinds na SEC, os agentes de ameaças inseriram o código malicioso em um código legítimo, o que significa que qualquer pessoa que baixou o software estava em risco. Isso foi feito como parte do processo de construção; o repositório de código-fonte não foi afetado.

De acordo com o arquivamento da SolarWinds SEC, essa versão trojanizada foi baixada por menos de 18.000 clientes de março a junho de 2020. Uma vez que esse código malicioso está presente em um sistema, ele executa o comportamento descrito na primeira parte deste post. Várias organizações, incluindo agências governamentais dos EUA, relataram que foram afetadas por esta campanha.

 

Soluções

Em um comunicado de segurança, a SolarWinds aconselhou todos os seus clientes afetados a atualizar imediatamente seu software para versões que não contivessem o código malicioso. O comunicado também lista os produtos apropriados e suas versões.

Além disso, o Departamento de Segurança Interna dos Estados Unidos, em uma diretiva às agências do governo do próprio país, ordenou que os sistemas com o referido software fossem colocados off-line e não reconectados às redes até que fossem reconstruídos. A diretiva avisa as agências para lidar com essas máquinas como comprometidas, e para também alterar as credenciais usadas por estas máquinas. As organizações que usam o SolarWinds Orion em sua rede podem considerar etapas semelhantes.

Os arquivos maliciosos associados a este ataque já foram detectados pelos produtos Trend Micro apropriados como Backdoor.MSIL.SUNBURST.A e Trojan.MSIL.SUPERNOVA.A. Além disso, todo o domínio avsvmcloud.com foi bloqueado. Se organizações acreditarem que podem ter sido afetadas por esta campanha, os seguintes produtos da Trend Micro são capazes de auxiliar na realização de varreduras abrangentes de redes/sistemas internos a fim de determinar o escopo de qualquer dano, caso haja algum:

  • O Trend Micro XDR for Users aplica IA e análises para detecção antecipada de ameaças em endpoints e outras camadas do sistema.
  •   O Trend Micro Apex One™ fornece insights acionáveis, recursos investigativos expandidos e visibilidade centralizada em toda a rede.

 

Indicadores de comprometimento

Os seguintes hashes estão associados a esta campanha e são detectados pelos produtos da Trend Micro:

SHA256 SHA1 Trend Micro Detection
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 2f1a5a7411d015d01aaee4535835400191645023 Backdoor.MSIL.SUNBURST.A
c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71 75af292f34789a1c782ea36c7127bf6106f595e8 Trojan.MSIL.SUPERNOVA.A
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 d130bd75645c2433f88ac03e73395fba172ef676 Backdoor.MSIL.SUNBURST.A
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 76640508b1e7759e548771a5359eaed353bf1eec Backdoor.MSIL.SUNBURST.A
d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600 1b476f58ca366b54f34d714ffce3fd73cc30db1a Backdoor.MSIL.SUNBURST.A

 

Os seguintes nomes de domínio estão associados a esta campanha e também estão bloqueados:

  • avsvmcloud[.]com
  • databasegalore[.]com
  • deftsecurity[.]com
  • highdatabase[.]com
  • incomeupdate[.]com
  • panhardware[.]com
  • thedoccloud[.]com
  • zupertech[.]com

 

Para ver as atualizações mais recentes da Trend Micro a respeito do Sunburst, acesse nossa Knowledge Base.