Los productos Gateway bloquean todos los indicadores de red conocidos de peligro (indicadores IOC admitidos).
La
4287 V3 DATs cobertura de todos los archivos binarios conocidos utilizados en este ataque se trata en (ENS) y
9835 V2 DATs (WG y VSE). Estos archivos DAT se publicaron el 14 de diciembre de 2020, para sistemas con conexión en la nube y en Global Threat Intelligence (GTI).
Las capacidades de detección genérica, que
Extra.DAT antes se suministran, se incluyen en (ENS) y
9836 V2 DATs (WG y VSE) publicadas el
4288 V3 DATs 15 de diciembre de 2020.
El nombre de detección de las amenazas de este ataque es
HackTool-Leak.c anterior a los DAT
4288 V3 (ENS) y
9836 V2 (WG y VSE).
Tras estos archivos DAT, el nombre de detección de las amenazas de este ataque es
Trojan-Sunburst.
En el momento de la publicación, los clientes que utilicen MVISION Endpoint verán una detección de Windows Defender para
Trojan:MSIL/Solorigate.B!dha .
Para obtener una cobertura de detección mejorada, MVISION Endpoint los clientes pueden realizar la actualización al
MVISION Endpoint 2011 Hotfix versión, disponible el 16 de diciembre de 2020.
- Clientes con MVISION ePO: confirme que la actualización automática está activada y configurada para el despliegue inmediato.
- Los clientes con ePO local: incorpore MVISION Endpoint 2011 Hotfix después de obtenerlo del centro de software o del sitio de descargas de productos y desplegarlo en el entorno.
Para obtener más información sobre esta versión y otras versiones de MVISION Endpoint, consulte
KB90744-plataformas compatibles con MVISION Endpoint.
Para los clientes que no pueden actualizar los DAT o que no utilizan el análisis en tiempo real o el análisis bajo demanda, la cobertura de
prevención de exploits se puede configurar con las siguientes reglas de experto. El contenido de la regla también está disponible en
Sunburst_Expert_Rules.zip la sección "datos adjuntos" de este artículo.
Reglas de experto de ENS
| Nombre de la regla |
Ráfaga solar: bloquear la creación de una canalización con nombre |
| Gravedad |
Alta |
| Acción |
Bloquear, informar |
| Tipo de regla |
Archivos |
| Contenido de la regla |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
| Notas (opcional) |
Este desencadenador de regla indica que la aplicación SolarWinds intenta crear una canalización con nombre malicioso conocida. |
| Nombre de la regla |
Ráfaga solar: detectar 7zip uso anómalo |
| Gravedad |
Alta |
| Acción |
Bloquear, informar |
| Tipo de regla |
Procesos |
| Contenido de la regla |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
| Notas (opcional) |
Este desencadenador de reglas indica que la aplicación SolarWinds intenta abusar 7zip de la aplicación. |
| Nombre de la regla |
Ráfaga solar: detectar el registro de Dllhost .exe como un servicio temporal |
| Gravedad |
Alta |
| Acción |
Bloquear, informar |
| Tipo de regla |
Registro |
| Contenido de la regla |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
| Notas (opcional) |
Este desencadenador de reglas indica que una aplicación intenta registrarse dllhost.exe temporalmente como servicio en la opción de ejecución de archivos de imagen de subárbol del registro. |
| Nombre de la regla |
Ráfaga solar: evitar la carga de elementos sin firmar NetSetupSvc.dll |
| Gravedad |
Alta |
| Acción |
Bloquear, informar |
| Tipo de regla |
Archivos |
| Contenido de la regla |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
| Notas (opcional) |
NetSetupSVC.dll es un archivo DLL compartido que Microsoft utiliza para varias aplicaciones como Microsoft accessa y Office. Este desencadenador de regla indica que SVCHost.exe intenta cargar un no firmado NetSetupSVC.dll, que puede indicar una infracción. |
Firma personalizada de host IPS:
En el caso de host IPS 8.0 , la cobertura no es posible debido a la falta de compatibilidad con el bloqueo de creación de canalizaciones con nombre. No obstante, puede utilizar una firma personalizada para una cobertura parcial. Se pueden producir detecciones de falsos positivos, por lo que se recomienda revisar periódicamente cualquier evento de firma. De acuerdo con la regla de ENS Expert anterior, monitor para cualquier actividad que utilice el uso no firmado o que no se haya firmado Microsoft de
NetSetupSvc.dll .
| Nombre de firma |
Ráfaga solar: supervisión de NetSetupSvc.dllsvchost.exe |
| Gravedad |
Alta |
| Plataforma |
Windows |
| Tipo de firma |
Host IPS |
| Nivel de gravedad |
< Configurar para que coincida con el umbral del registro o para impedir su elección según la Directiva de Protección IPS > |
| Reglas de cliente |
<Enable if you want for IPS Adaptive mode to auto-learn exception if Adaptive mode is enabled> |
| Estado de registro |
<Enable if you want to generate ePO events for signature violations> |
| |
|
| Descripción |
NetSetupSVC.dll es un archivo DLL compartido que Microsoft utiliza para varias aplicaciones como Microsoft Access y Office. Este desencadenador de regla indica que SVCHost.exe intenta cargar un no firmado NetSetupSVC.dll, que puede indicar una infracción. |
| |
|
| Subreglas |
<Click New Expert Subrule> |
| Sintaxis de la subregla |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
| |
Nota: El valor de ID definido anteriormente cambiará (tras guardar el cambio de directiva) al siguiente ID de firma disponible disponible en la base de datos del servidor de ePO entre el ID 4001 y 5999. |
Se recomienda a los clientes que utilicen
Application y Change Control que no resolidifican el software de SolarWinds Orion Platform si ejecutan una compilación afectada. Si se crean reglas para agregar SolarWinds como
actualizador, le recomendamos eliminarlas.
El conjunto 10.8.16.6 de firmas de NSP IPS se publicó el 15 de diciembre de 2020, que incluye cobertura para detectar y bloquear el tráfico de la puerta trasera de sol.
| Firma de ataque |
ID de ataque |
| MEDIA-BACKDOOR: actividad de ráfaga solar detectada |
0x40e10a00 |
Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite.
