Les produits Gateway bloquent tous les indicateurs réseau connus de compromission (IOC).
La couverture de tous les fichiers binaires connus utilisés dans cette attaque est traitée dans le
4287 V3 DATs (ENS) et
9835 V2 DATs (WG et VSE). Ces fichiers DAT ont été publiés le 14 décembre 2020, pour les systèmes connectés cloud, et dans Global Threat Intelligence (GTI).
Les
4288 V3 DATs fonctionnalités de détection génériques, précédemment fournies par
Extra.DAT , sont incluses dans (ENS) et
9836 V2 DATs (WG et VSE), publiées le 15 décembre 2020.
Le nom de détection des menaces dans cette attaque se trouve
HackTool-Leak.c avant les fichiers DAT
4288 v3 (ENS) et
9836 v2 (WG et VSE).
Après ces fichiers DAT, le nom de détection des menaces de cette attaque est
Trojan-Sunburst.
Au moment de la publication, les clients qui utilisent MVISION Endpoint verront une détection Windows Defender pour
Trojan:MSIL/Solorigate.B!dha .
Pour une meilleure couverture de détection, MVISION Endpoint clients peuvent effectuer une mise à jour vers la version
MVISION Endpoint 2011 Hotfix version, disponible le 16 décembre 2020.
- Clients avec MVISION ePO : Vérifiez que la mise à jour automatique est activée et configurée pour un déploiement immédiat.
- Clients disposant d’ePO en local : archivez MVISION Endpoint 2011 HotFix après l’avoir obtenu à partir du site du centre de logiciels ou du site de téléchargement de produits et déployez-le dans l’environnement.
Pour plus d’informations sur cette version et les autres versions MVISION Endpoint, consultez la section
plates-formes prises en charge par KB90744 pour Mvision Endpoint.
Pour les clients qui ne peuvent pas mettre à jour les fichiers DAT ou qui n’utilisent pas l’analyse à l’accès ou l’analyse à la demande, la couverture de
prévention contre les exploits peut être configurée à l’aide des règles d’expert suivantes. Le contenu de la règle est également disponible dans la
Sunburst_Expert_Rules.zip section "pièce jointe" de cet article.
Règles d’expert ENS
| Nom de la règle |
Rayons de soleil : bloquer la création du canal nommé |
| Gravité |
Élevée |
| Action |
Bloquer, rapport |
| Type de règle |
Fichiers |
| Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
| Remarques (facultatif) |
Ce déclencheur de règle indique que le application SolarWinds tente de créer un canal nommé malveillant connu. |
| Nom de la règle |
Rayons de soleil : détecter 7zip une utilisation anormale |
| Gravité |
Élevée |
| Action |
Bloquer, rapport |
| Type de règle |
Processus |
| Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
| Remarques (facultatif) |
Ce déclencheur de règle indique que le application SolarWinds tente d’abuser 7zip application. |
| Nom de la règle |
Rayons de soleil : détection de l’enregistrement de Dllhost .exe en tant que service temporaire |
| Gravité |
Élevée |
| Action |
Bloquer, rapport |
| Type de règle |
Registre |
| Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
| Remarques (facultatif) |
Ce déclencheur de règle indique qu’un application tente de s’enregistrer dllhost.exe temporairement en tant que service sur l’option d’exécution du fichier image de la ruche du Registre. |
| Nom de la règle |
Rayons de soleil : empêcher le chargement des éléments non signés NetSetupSvc.dll |
| Gravité |
Élevée |
| Action |
Bloquer, rapport |
| Type de règle |
Fichiers |
| Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
| Remarques (facultatif) |
NetSetupSVC.dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft accessa et Office. Ce déclencheur de règle indique que SVCHost.exe tente de charger un non signé NetSetupSVC.dll, qui peut indiquer une violation. |
Signature personnalisée Host IPS :
Pour Host IPS 8.0 , la couverture n’est pas possible en raison de l’absence de prise en charge pour l’utilisation du blocage de création de canal nommé. Toutefois, vous pouvez utiliser une signature personnalisée pour la couverture partielle. Des détections de faux positifs peuvent se produire. il est donc conseillé d’examiner régulièrement tous les événements signature. Selon la règle de ENS expert ci-dessus, surveillez toute activité en utilisant une utilisation non signée ou non Microsoft de
NetSetupSvc.dll .
| Nom de la signature |
Rayons de NetSetupSvc.dll soleil : surveillance svchost.exe |
| Gravité |
Élevée |
| Plate-forme |
Windows |
| Type de signature |
Host IPS |
| Niveau de gravité |
< Configurez pour qu’il corresponde au journal ou au seuil de votre choix en fonction de la stratégie de protection IPS > |
| Règles client |
<Enable if you want for IPS Adaptive mode to auto-learn exception if Adaptive mode is enabled> |
| Statut du journal |
<Enable if you want to generate ePO events for signature violations> |
| |
|
| Description du problème |
NetSetupSVC.dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft Access et Office. Ce déclencheur de règle indique que SVCHost.exe tente de charger un non signé NetSetupSVC.dll, qui peut indiquer une violation. |
| |
|
| Sous-règles |
<Click New Expert Subrule> |
| Syntaxe de la sous-règle |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
| |
Remarque : La valeur d’ID définie ci-dessus change (après l’enregistrement de la modification de la stratégie) pour être l’ID de signature suivant disponible dans votre base de données de serveur ePO entre l’ID 4001 et 5999. |
Les clients utilisant
Application and Change Control sont invités à ne pas consolider le logiciel de plate-forme Orion SolarWinds dans l’exécution d’un Build concerné. Si des règles sont créées pour ajouter SolarWinds en tant que programme de mise à
jour, il est conseillé de les supprimer.
Jeu 10.8.16.6 de signatures de NSP IPS libéré le 15 décembre, 2020, qui inclut la couverture pour détecter et bloquer le trafic Backdoor-Burst.
| Signature de l’attaque |
ID d’attaque |
| MOYENNE-BACKDOOR : activité de soleil détectée |
0x40e10a00 |
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
