Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году.
Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..
Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем). К чести компании FireEye - она вообще смогла обнаружить такую сложную атаку. У других компаний такие трояны живут годами.
Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.
В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:
- В IPS уже есть сигнатуры
- В модуле анализа DNS есть индикаторы (IoC) центров управления.
- В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).
- В продуктах класса SOAR уже есть playbook для работы с SolarBurst. Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно.
- И также есть сервисы, когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.
Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds