McAfee ゲートウェイ製品は、既知のすべてのネットワーク侵害の痕跡(IOC)をブロックします。
この攻撃で使用されるすべての既知のバイナリの対象範囲は、
4287 V3 DATs (ENS) および
9835 V2 DATs (MWG および VSE) でカバーされています。 これらの DAT は、2020 年 12 月 14 日に、クラウド接続システム用に、グローバル脅威インテリジェンス(GTI)でリリースされました。
以前
Extra.DAT によって提供されていた一般的な検出機能は、2020 年 12 月 15 日にリリースされた
4288 V3 DATs (ENS) および
9836 V2 DATs (MWG および VSE) に含まれています。
この攻撃での脅威の検出名は、
HackTool-Leak.c (4288 V3 DATs (ENS) および
9836 V2 DATs (MWG および VSE) 以前)です。 これらの DAT の
後、この攻撃での脅威の検出名は
Trojan-Sunburst. です。
公開時点で、MVISION Endpoint を使用しているお客様には、
Trojan:MSIL/Solorigate.B!dha に対する Windows Defender の検出が表示されます。
検出範囲を強化するために、MVISION Endpoint のお客様は、2020 年 12 月 16 日に利用可能になった
MVISION Endpoint 2011 Hotfix リリースに更新できます。
- MVISION ePO をご利用のお客様: 自動更新が有効になっていて、すぐに配備するように設定されていることを確認してください。
- オンプレミス ePO をご利用のお客様: ソフトウェア センターまたは製品ダウンロード サイトから HotFix を取得し、環境に配備した後に MVISION Endpoint 2011 HotFix にチェックインします。
このリリースおよびその他の MVISION Endpoint のリリースに関する追加情報については、
KB90744 - MVISION Endpoint でサポートされているプラットフォーム、環境、およびオペレーティングシステム を参照してください。
DAT を更新できないお客様、またはオンアクセス スキャン/オンデマンド スキャンを使用していないお客様には、
エクスプロイト防止対応範囲は、以下のエキスパート ルールを使用して設定できます。 ルールの内容は、この記事の「添付ファイル」セクションの
Sunburst_Expert_Rules.zip でも入手できます。
ENS エキスパート ルール:
ルール名 |
Sunburst: Block creation of named pipe |
重大度 |
高 |
アクション |
ブロック、レポート |
ルール タイプ |
ファイル |
ルール コンテンツ |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
注(オプション) |
このルール トリガーは、SolarWinds アプリケーションが既知の不正な名前付きパイプを作成しようとした可能性を示します。 |
ルール名 |
Sunburst: Prevent loading of unsigned NetSetupSvc.dll |
重大度 |
高 |
アクション |
ブロック、レポート |
ルール タイプ |
ファイル |
ルール コンテンツ |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
注(オプション) |
NetSetupSVC.dll は、Microsoft が Microsoft Access、Office など、いくつかのアプリケーションに使用する共有 DLL です。 このルール トリガーは、SVCHost.exe が署名されていない NetSetupSVC.dll 読み込もうとしたことを示しています。これは、違反を示している可能性があります。 |
Host IPS カスタム シグネチャ:
Host IPS 8.0 の場合、名前付きパイプ作成ブロッキングの使用がサポートされていないため、カバレッジは不可能です。 たただし、部分的なカバレッジにはカスタム シグネチャを使用できます。 誤検知が発生する可能性があるため、シグネチャ イベントを定期的に確認することをお勧めします。 上記の ENS エキスパート ルールに従って、
NetSetupSvc.dll の署名されていないまたは Microsoft が署名していないアクティビティを監視します。
シグネチャ名 |
Sunburst: Monitoring of NetSetupSvc.dll through svchost.exe |
重大度 |
高 |
プラットフォーム |
Windows |
シグネチャ タイプ |
Host IPS |
重大度レベル |
<IPS 保護 ポリシーに従って、選択した LOG または PREVENT のしきい値に一致するように構成します> |
クライアント ルール |
<アダプティブ モードが有効になっている場合に IPS アダプティブ モードで例外を自動学習する場合は有効にします> |
ログ ステータス |
<署名違反の ePO イベントを生成する場合は有効にします> |
|
|
説明 |
NetSetupSVC.dll は、Microsoft が Microsoft Access、Office など、いくつかのアプリケーションに使用する共有 DLL です。 このルールトリガーは、SVCHost.exe が署名されていない NetSetupSVC.dll を読み込もうとしたことを示しています。これは、違反を示している可能性があります。 |
|
|
サブルール |
<新しいエキスパート サブルールをクリックします> |
サブルールの構文 |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
|
注:上記で定義した ID 値は(ポリシー変更を保存した後)、ID 4001 から 5999 の間で ePO サーバー データベースで次に利用可能なシグネチャ ID に変更されます。 |
McAfee Application および Change Control を使用しているお客様は、影響を受けるビルドを実行している場合は、SolarWinds Orion Platform ソフトウェアを統合解除することをお勧めします。 SolarWinds を
アップデーターとして追加するルールが作成された場合、McAfee はそれらを削除することをお勧めします。
2020 年 12 月 15 日にリリースされた NSP IPS シグネチャ セット 10.8.16.6 には、 Sunburst Backdoor トラフィックを検出およびブロックするためのカバレッジが含まれています。
攻撃シグネチャ |
攻撃 ID |
MEDIUM - BACKDOOR: SUNBURST Activity Detected |
0x40e10a00 |
詳しくは
KB93875 - REGISTERED - Network Security Signature Sets Release Bulletin (10.8.16.6) をご覧ください。
注: 参照されているコンテンツは、ログインしているサービスポータル ユーザーのみ使用できます。 コンテンツを表示するには、リンクをクリックし、プロンプトが表示されたらログインします。