Os produtos Gateway bloqueiam todos os indicadores de comprometimento de rede conhecidos (IOC compatível).
A
4287 V3 DATs cobertura de todos os binários conhecidos usados nesse ataque é abordada no (ens) e
9835 V2 DATs (WG e VSE). Estes DATs foram lançados em 14 de dezembro de 2020, para sistemas conectados à nuvem e em Global Threat Intelligence (GTI).
Os
4288 V3 DATs recursos de detecção genérica, fornecidos anteriormente pelo
Extra.DAT , são incluídos no (ens) e
9836 V2 DATs (WG e VSE) lançados em 15 de dezembro de 2020.
O nome da detecção de ameaças nesse ataque é
HackTool-Leak.c anterior aos DATs
4288 v3 (ens) e
9836 v2 (WG e VSE).
Após esses DATs, o nome da detecção de ameaças nesse ataque é
Trojan-Sunburst.
No momento da publicação, os clientes que usam o MVISION Endpoint verão uma detecção do Windows Defender para
Trojan:MSIL/Solorigate.B!dha o.
Para uma maior cobertura de detecção, MVISION Endpoint os clientes podem atualização para a versão
MVISION Endpoint 2011 hotfix , disponibilizado em 16 de dezembro de 2020.
- Os clientes com MVISION ePO: confirmar se a atualização automática está ativada e configurada para distribuição imediata.
- Clientes com ePO local: faça check-in do MVISION Endpoint 2011 Hotfix depois de obtê-lo no centro de software ou no site de downloads de produtos e distribuir o para o ambiente.
Para obter informações adicionais sobre esta versão e outras versões de MVISION Endpoint, consulte
plataformas compatíveis com KB90744 para MVISION Endpoint.
Para os clientes que não podem atualização DATs ou que não usam a varredura ao acessar ou a varredura por solicitação, a proteção de
prevenção de exploração pode ser configurada com as seguintes regras de especialista. O conteúdo da regra também está disponível no
Sunburst_Expert_Rules.zip na seção "anexo" deste artigo.
Regras de especialista do ENS
| Nome da regra |
Explosão solar: bloquear a criação de pipes nomeados |
| Gravidade |
Alta |
| Ação |
Bloquear, relatar |
| Tipo de regra |
Arquivos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
| Notas (opcional) |
Essa regra é disparada indica que o aplicativo SolarWinds tenta criar um pipe nomeado malicioso conhecido. |
| Nome da regra |
Explosão solar: detectar 7zip uso de anomalias |
| Gravidade |
Alta |
| Ação |
Bloquear, relatar |
| Tipo de regra |
Processos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
| Notas (opcional) |
Essa regra é disparada indica que o aplicativo SolarWinds tenta fazer abusos 7zip com o aplicativo. |
| Nome da regra |
Explosão solar: detectar o registro de Dllhost .exe como um serviço temporário |
| Gravidade |
Alta |
| Ação |
Bloquear, relatar |
| Tipo de regra |
Registro |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
| Notas (opcional) |
Essa regra é disparada indica que um aplicativo tenta registrar- dllhost.exe se temporariamente como um serviço na opção de execução do arquivo de imagem da seção do registro. |
| Nome da regra |
Explosão solar: impedir o carregamento de não assinados NetSetupSvc.dll |
| Gravidade |
Alta |
| Ação |
Bloquear, relatar |
| Tipo de regra |
Arquivos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
| Notas (opcional) |
NetSetupSVC.dll é uma DLL compartilhada que Microsoft usa para vários aplicativos, como o Microsoft Accessa e o Office. Essa regra é disparada indica que SVCHost.exe o tenta carregar um não assinado NetSetupSVC.dll, , o que pode indicar uma violação. |
Assinatura personalizada do host IPS:
Para o host IPS 8.0 , a cobertura não é possível devido à falta de suporte para o uso do bloqueio de criação de pipe nomeado. No entanto, você pode usar uma assinatura personalizada para cobertura parcial. Podem ocorrer detecções de falso positivo, portanto, é recomendável analisar regularmente todos os eventos de assinatura. De acordo com a regra ENS expert acima, monitor para qualquer atividade que use uso
NetSetupSvc.dll não assinado ou não Microsoft sem assinatura.
| Nome da assinatura |
Explosão solar: monitoramento por meio de NetSetupSvc.dllsvchost.exe |
| Gravidade |
Alta |
| Plataforma |
Windows |
| Tipo de assinatura |
Host IPS |
| Níveis de gravidade |
< Configurar para corresponder ao registro ou impedir o limite de sua escolha de acordo com a política de proteção do IPS > |
| Regras de cliente |
<Enable if you want for IPS Adaptive mode to auto-learn exception if Adaptive mode is enabled> |
| Status do log |
<Enable if you want to generate ePO events for signature violations> |
| |
|
| Descrição |
NetSetupSVC.dll é uma DLL compartilhada que o Microsoft usa para vários aplicativos, como o Microsoft Access e o Office. Essa regra é disparada indica que SVCHost.exe o tenta carregar um não assinado NetSetupSVC.dll, , o que pode indicar uma violação. |
| |
|
| Sub-regras |
<Click New Expert Subrule> |
| Sintaxe de sub-regra |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
| |
Nota: O valor de ID definido acima será alterado (após salvar a alteração de política) como a próxima ID de assinatura disponível disponível no banco de dados do servidor ePO entre a ID 4001 e 5999. |
Os clientes que usam o
Application and Change Control são aconselhados a se dessolidificar o software da plataforma SolarWinds Orion, se estiverem executando uma compilação afetada. Se as regras forem criadas para adicionar SolarWinds como um
atualizador, recomendamos excluí-las.
NSP o conjunto 10.8.16.6 de assinaturas do IPS foi lançado em 15 de dezembro de 2020, o que inclui cobertura para detectar e bloquear o tráfego de backdoor da explosão solar.
| Assinatura de ataque |
ID de ataque |
| MÉDIO-BACKDOOR: atividade de explosão solar detectada |
0x40e10a00 |
Nota: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
