Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
Similar a El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova (20)
Más de Javier Junquera
Más de Javier Junquera (7)
Último
Último (20)
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
- 1. Solorigate | javier@junquera.io (UNIR 2021) | 1 Solorigate De SUNBURST a Supernova
- 2. Solorigate | javier@junquera.io (UNIR 2021) | 2 https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
- 3. Solorigate | javier@junquera.io (UNIR 2021) | 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
- 4. Solorigate | javier@junquera.io (UNIR 2021) | 4 Introducción SolarWinds es una empresa dedicada a la creación de software para la administración de activos TIC: ● Orion es un producto de inventariado y gestión de sistemas en red ● En diciembre de 2020 se detecta un incidente de seguridad en Orion: ○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
- 5. Solorigate | javier@junquera.io (UNIR 2021) | 5 Solorigate ENE 2021 Aparece una nueva amenaza conocida como Supernova 13 DIC 2020 FireEye atribuye a backdoor en el software Orion: SUNBURST 8 DIC 2020 FireEye detecta acceso a sus herramientas de Red Team
- 6. Solorigate | javier@junquera.io (UNIR 2021) | 6 ¿Qué es la supply chain? Sunspot Penetración en SolarWinds, en septiembre de 2019 SEP 19 - FEB 20 Atacantes analizan funcionamiento de Orion: forma de trabajar, protocolos de comunicación, formato del código, etc. SUNBURST Creación e instalación de puerta trasera en Orion (SolarWinds.Orion.Core .BusinessLayer.dll) TEARDROP Actuación del código malicioso en las organizaciones. MAR 20 → MAR 20 (+1) Actualización automática de software de clientes. Infección con software firmado.
- 7. Solorigate | javier@junquera.io (UNIR 2021) | 7 SUNBURST Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con certificados legítimos de SolarWinds) se dispara el proceso de análisis: ● Permanece dormido (hasta 2 semanas) ● Verifica que está en una organización (AD) ○ Y que esta no es SolarWinds ● Duerme X tiempo ● Comienza a comunicarse con su C2 ○ Lo “busca” generando subdominios pseudo-aleatorios ○ Imita el protocolo de Orion ● Si es un entorno convincente, inicia la fase 2
- 8. Solorigate | javier@junquera.io (UNIR 2021) | 8 TEARDROP Una vez desplegado SUNBURST, si el equipo infectado forma parte de los objetivos del malware, entra en juego TEARDROP: ● TEARDROP es un dropper que inyecta en memoria una beacon de Cobalt Strike, para permitir el control remoto de la máquina ● Symantec detecta una variante conocida como Raindrop Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
- 9. Solorigate | javier@junquera.io (UNIR 2021) | 9 Impacto A finales de diciembre de 2020 SolarWinds retira la página de clientes, pero se puede recuperar a través de cachés como Internet Wayback Machine. SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020. https://www.solarwinds.com/company/customers
- 10. Solorigate | javier@junquera.io (UNIR 2021) | 10 > 18.000 compañías afectadas por SUNBURST (Tarasco & Merino, 2021)
- 11. Solorigate | javier@junquera.io (UNIR 2021) | 11 Impacto Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1 . Algunos de sus principales clientes: ● Organismos públicos Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU., NASA, NSA ● Organizaciones privadas Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc. 1 (Recorded Future, 2021)
- 12. Solorigate | javier@junquera.io (UNIR 2021) | 12 Impacto Todavía quedan incógnitas acerca del impacto: ● Clientes internacionales Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter. https://twitter.com/edelahozuah/status/1338880212914855939
- 13. Solorigate | javier@junquera.io (UNIR 2021) | 13 Impacto Todavía quedan incógnitas acerca del impacto: ● Daños colaterales Organización X Cliente de SolarWinds Organización Y Cliente de organización X (e ignora que existe SolarWinds) SolarWinds Supply chain comprometida
- 14. Solorigate | javier@junquera.io (UNIR 2021) | 14 Reacciones FireEye ● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como relacionados con sus herramientas de Red Team (robadas) SolarWinds ● Revoca certificados antiguos de software, e inicia una nueva estrategia de seguridad NIST ● Desarrollo de guía de buenas prácticas en gestión de supply chain
- 15. Solorigate | javier@junquera.io (UNIR 2021) | 15 Atribuciones vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401 Se pasa a conocer como DarkHalo al grupo criminal detrás de SUNBURST. EE.UU. atribuye SUNBURST a Rusia: ● Puede que la puerta trasera se introdujese en un desarrollo en Europa del este ● DarkHalo podría estar relacionado con Turla (Rusia) o APT41 (China)
- 16. Solorigate | javier@junquera.io (UNIR 2021) | 16 Pero esto no termina aquí… Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de SolarWinds: ● COSMICGALE Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta scripts de infección escritos en PowerShell ● Supernova Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización de logo de la empresa en la plataforma Orion), a través de COSMICGALE
- 17. Solorigate | javier@junquera.io (UNIR 2021) | 17 Ya no estamos hablando de una backdoor como tal Parte de una vulnerabilidad, y el código desplegado no está firmad Atribuído a un segundo actor, diferente de DarkHalo. Especulaciones alrededor de Corea del Norte Supernova
- 18. Solorigate | javier@junquera.io (UNIR 2021) | 18 Conclusiones ● Instalar IOC generados por FireEye en sistemas de detección ○ Herramientas de Red Team (https://github.com/fireeye/red_team_tool_countermeasures) ○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures) ● Desarrollo de capacidades analíticas y de respuesta ● Toma de conciencia acerca del rol que juegan proveedores y terceros en el riesgo de la organización ● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
- 19. Solorigate | javier@junquera.io (UNIR 2021) | 19 Referencias Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18). Microsoft Security. https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d efender-helps-protect/ Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276 Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12 Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security. https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
- 20. Solorigate | javier@junquera.io (UNIR 2021) | 20 Referencias SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs. https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/ SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/ SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/ Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia. https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs. /blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/ Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/