网关产品会阻止所有已知的威胁网络指示器(IOCs)。
(ENS)和
9835 V2 DATs (WG 和 VSE)涵盖
4287 V3 DATs 了此攻击中使用的所有已知二进制文件的覆盖范围。这些DTS 于 2020 年 12 月 14 日针对云连接系统和 Global Threat Intelligence (GTI) 发布。
之前提供
Extra.DAT 的一般检测功能包含在2020年12月15日发布的
4288 V3 DATs (ENS)和
9836 V2 DATs (WG 和 VSE)中。
在此攻击中,威胁的检测名称位于
4288 V3 DAT (ENS)和
9836 V2 DAT (WG 和 VSE)
HackTool-Leak.c 之前。在这些 Dat
之后,在此攻击中,威胁的检测名称是
Trojan-Sunburst.
发布时,使用 MVISION Endpoint 的客户会看到 Windows Defender 检测
Trojan:MSIL/Solorigate.B!dha 到。
对于增强的检测覆盖率,MVISION Endpoint 客户可以更新到
MVISION Endpoint 2011 修补程序 版本,可于2020年12月16日提供。
- 具有此MVISION ePO的客户: 确认已启用 自动更新 并配置为立即部署。
- 具有内部部署 ePO 的客户: 从软件中心或产品下载站点收到并部署到环境中后,签入 MVISION Endpoint 2011 修补程序。
有关此版本及其他 MVISION Endpoint 版本的其他信息,请参阅
适用于 MVISION Endpoint 的 KB90744 支持平台。
对于不能更新 Dat 或不使用按访问扫描或按需扫描的客户,可使用以下专家规则配置
漏洞利用防护 范围。在本文的 "附件" 部分中也提供
Sunburst_Expert_Rules.zip 了规则内容。
ENS 专家规则
| 规则名称 |
Sunburst: 阻止创建命名管道 |
| 严重性 |
高 |
| 操作 |
阻止 , 报告 |
| 规则类型 |
文件 |
| 规则内容 |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
| 说明 (可选) |
此规则触发器表示 SolarWinds 应用程序尝试创建已知的恶意命名管道。 |
| 规则名称 |
旭日:检测 7zip 异常使用 |
| 严重性 |
高 |
| 操作 |
阻止 , 报告 |
| 规则类型 |
进程 |
| 规则内容 |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
| 说明 (可选) |
此规则触发器表示 SolarWinds 应用程序尝试滥用 7zip 应用程序。 |
| 规则名称 |
旭日:检测将 dllhost.exe .exe 注册为临时服务 |
| 严重性 |
高 |
| 操作 |
阻止 , 报告 |
| 规则类型 |
注册表 |
| 规则内容 |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
| 说明 (可选) |
此规则触发器表示应用程序尝试临时注册 dllhost.exe 为 "注册表配置单元映像文件执行" 选项的服务。 |
| 规则名称 |
旭日:禁止加载未签名的 NetSetupSvc.dll |
| 严重性 |
高 |
| 操作 |
阻止 , 报告 |
| 规则类型 |
文件 |
| 规则内容 |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
| 说明 (可选) |
NetSetupSVC.dll 是 Microsoft 用于 Microsoft Accessa 和 Office 等几个应用程序的共享 DLL。此规则触发器指示 SVCHost.exe 尝试加载可指示漏洞的未签名 NetSetupSVC.dll, 。 |
主机 IPS 自定义特征码:
对于主机 IPS 8.0 ,由于缺少对使用命名管道创建阻止的支持,无法实现覆盖范围。但是,您可以使用自定义特征码进行部分覆盖。 可能会发生误报检测,因此建议定期查看任何签名事件。根据上面的 ENS 专家规则,监控使用未签名或未 Microsoft 签名的
NetSetupSvc.dll 任何活动。
| 签名名称 |
旭日:监控 NetSetupSvc.dll 到 svchost.exe |
| 严重性 |
高 |
| 平台 |
Windows |
| 签名类型 |
Host IPS |
| 严重性等级 |
<Configure to match the LOG or PREVENT threshold of your choice according to your IPS 保护策略> |
| 客户端规则 |
<Enable if you want for IPS Adaptive mode to auto-learn exception if Adaptive mode is enabled> |
| 日志状态 |
<Enable if you want to generate ePO events for signature violations> |
| |
|
| 描述 |
NetSetupSVC.dll 是 Microsoft 用于多个应用程序(例如 Microsoft 访问和 Office)的共享 DLL。此规则触发器指示 SVCHost.exe 尝试加载可指示漏洞的未签名 NetSetupSVC.dll, 。 |
| |
|
| 子规则 |
<Click New Expert Subrule> |
| 子规则语法 |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
| |
注意:上述定义的 ID 值将(在保存策略更改后)更改为 ID 4001 和 5999 之间的 ePO 服务器 数据库中下一个可用的 特征码 ID。 |
如果运行受影响的内部版本,则建议使用
应用程序和更改控制 的客户 Unsolidify SolarWinds Orion 平台软件。如果创建规则以将 SolarWinds 添加为
更新程序,则建议将其删除。
NSP IPS 特征码集 10.8.16.6 在2020年12月15日发布,包括用于检测和阻止旭日后门程序流量的覆盖范围。
| 攻击特征码 |
攻击 ID |
| 中 - 后门程序: 检测到 SUNBURST 活动 |
0x40e10a00 |
注意:所引用的内容仅可供已登录的 ServicePortal 用户使用。 要查看内容,请单击该链接并在出现提示时登录。
