I prodotti Gateway bloccano tutti gli indicatori di rete noti di compromesso (indicatori).
La
4287 V3 DATs copertura per tutti i file binari noti utilizzati in questo attacco è coperta da (ENS) e
9835 V2 DATs (WG e VSE). I dat sono stati rilasciati il 14 dicembre 2020, per i sistemi cloud connessi e in Global Threat Intelligence (GTI).
Le
4288 V3 DATs funzionalità di rilevamento generico, precedentemente fornite da
Extra.DAT , sono incluse nelle (ENS) e
9836 V2 DATs (WG e VSE) rilasciate il 15 dicembre 2020.
Il nome di rilevamento delle minacce in questo attacco si trova
HackTool-Leak.c prima dei dat
4288 V3 (ENS) e
9836 V2 (WG e VSE).
Dopo questi dat, il nome del rilevamento per le minacce in questo attacco è
Trojan-Sunburst.
Al momento della pubblicazione, i clienti che utilizzano MVISION Endpoint vedranno un rilevamento di Windows Defender per
Trojan:MSIL/Solorigate.B!dha .
Per una migliore copertura dei rilevamenti, MVISION Endpoint i clienti possono effettuare l'aggiornamento alla versione di
Hotfix MVISION Endpoint 2011 , resa disponibile il 16 dicembre 2020.
- Clienti con MVISION ePO: verificare che l'aggiornamento automatico sia attivato e configurato per la distribuzione immediata.
- Clienti con ePO locale: archivia MVISION Endpoint 2011 hotfix dopo averla scaricata dal centro software o dal sito di download dei prodotti e implementata nell'ambiente.
Per ulteriori informazioni su questa versione e su altre release MVISION Endpoint, consultare le
piattaforme supportate da KB90744 per MVision endpoint.
Per i clienti che non possono aggiornare i file dat o che non utilizzano la scansione all'accesso o la scansione su richiesta, è possibile configurare la copertura
prevenzione exploit utilizzando le seguenti regole di esperti. Il contenuto della regola è disponibile anche nella
Sunburst_Expert_Rules.zip sezione "allegato" di questo articolo.
Regole degli esperti ENS
Nome regola |
Sunburst: blocca creazione di named pipe |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
File |
Contenuto regola |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
Note (facoltativo) |
Questo trigger di regola indica che l'applicazione SolarWinds tenta di creare una named pipe nota come dannosa. |
Nome regola |
Sunburst: rileva 7zip l'utilizzo anomalo |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
Processi |
Contenuto regola |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
Note (facoltativo) |
Questo trigger di regola indica che l'applicazione SolarWinds tenta di applicare l'applicazione di abusi 7zip . |
Nome regola |
Sunburst: rileva la registrazione di Dllhost .exe come servizio temporaneo |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
Registro |
Contenuto regola |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
Note (facoltativo) |
Questo trigger di regola indica che un'applicazione tenta di registrarsi dllhost.exe temporaneamente come servizio nell'opzione di esecuzione del file dell'immagine hive del registro di sistema. |
Nome regola |
Sunburst: Impedisci il caricamento di senza firma NetSetupSvc.dll |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
File |
Contenuto regola |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
Note (facoltativo) |
NetSetupSVC.dll è una DLL condivisa che Microsoft utilizza per diverse applicazioni, ad esempio Microsoft accessa e Office. Questo trigger di regola indica che SVCHost.exe tenta di caricare un unsigned NetSetupSVC.dll, che può indicare una violazione. |
Firma personalizzata di host IPS:
Per host IPS 8.0 , la copertura non è possibile a causa della mancanza di supporto per l'utilizzo del blocco della creazione di named pipe. Tuttavia, è possibile utilizzare una firma personalizzata per una copertura parziale. Potrebbero verificarsi rilevamenti di falsi positivi, pertanto si consiglia di esaminare periodicamente eventuali eventi di firma. In base alla regola di esperti ENS sopra riportata, monitorare le attività che utilizzano l'utilizzo senza firma o non Microsoft di
NetSetupSvc.dll .
Nome firma |
Sunburst: monitoraggio di NetSetupSvc.dll through svchost.exe |
Gravità |
Alta |
Piattaforma |
Windows |
Tipo di firma |
Host IPS |
Livello di gravità |
< Configurare per far coincidere il registro o prevenirne la soglia di scelta in base alla protezione IPS Policy > |
Regole client |
<Enable if you want for IPS Adaptive mode to auto-learn exception if Adaptive mode is enabled> |
Stato registro |
<Enable if you want to generate ePO events for signature violations> |
|
|
Descrizione |
NetSetupSVC.dll è una DLL condivisa che Microsoft utilizza per diverse applicazioni, ad esempio Microsoft accesso e Office. Questo trigger di regola indica che SVCHost.exe tenta di caricare un unsigned NetSetupSVC.dll, che può indicare una violazione. |
|
|
Sottoregole |
<Click New Expert Subrule> |
Sintassi sottoregola |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
|
Nota: Il valore ID definito in precedenza cambierà (dopo aver salvato la modifica policy) in modo che sia disponibile il successivo ID di firma disponibile nel database del server ePO compreso tra ID 4001 e 5999. |
I clienti che utilizzano l'
applicazione e il controllo delle modifiche sono invitati a dissolidificare il software della piattaforma SolarWinds Orion se è in esecuzione una build interessata. Se vengono create regole per aggiungere SolarWinds come programma di
aggiornamento, si consiglia di eliminarle.
NSP IPS Signature set 10.8.16.6 pubblicato il 15 dicembre 2020, che include la copertura per rilevare e bloccare il traffico backdoor Sunburst.
Firma dell'attacco |
ID attacco |
MEDIA-BACKDOOR: attività SUNBURST rilevata |
0x40e10a00 |
Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.