вторник, 22 декабря 2020 г.

Методы обнаружения взломанного SolarWinds

Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году.

Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..

Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем). К чести компании FireEye - она вообще смогла обнаружить такую сложную атаку. У других компаний такие трояны живут годами.

Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.

В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:

- В IPS уже есть сигнатуры 

- В модуле анализа DNS есть индикаторы (IoC) центров управления.

- В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).

- В продуктах класса SOAR уже есть playbook для работы с SolarBurst. Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно.


- И также есть сервисы, когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.

Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds