SolarWinds: Chasse aux menaces pour contenir et éradiquer

Alors que l'histoire de la cyberattaque continue de se dérouler autour du malware SUNBURST et SUPERNOVA distribué via une mise à jour logicielle SolarWinds compromise, de plus en plus d'organisations des secteurs privé et public du monde entier se manifestent pour révéler comment elles ont été affectées par la violation. En réponse, les experts en cybersécurité recommandent simplement que tous les clients de SolarWinds présument qu'ils ont été violés et lancent une chasse aux menaces pour contenir et éradiquer.

Le 13 décembre ^e FireEye a publié des informations à propos d'une attaque de la chaîne d'approvisionnement utilisant un cheval de Troie Orion, un logiciel de surveillance et de gestion informatique Solarwinds. Le logiciel malveillant a été diffusé via des mises à jour de SSolarWinds.Orion.Core.BusinessLayer.dll dans les versions 2019.4 à 2020.2, un composant signé numériquement du logiciel et suivi par FireEye comme SUNBURST. L'attaque aurait pu commencer dès le printemps 2020.

Et, pendant les vacances, un nouveau malware SUPERNOVA a été découvert en train d'être distribué via la même plate-forme logicielle, une autre porte dérobée qui provient probablement d'un deuxième acteur menaçant.

Récent Les bulletins de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis suggèrent que les attaquants peuvent utiliser plusieurs vecteurs d'attaque pour infiltrer les réseaux ciblés. CISA a ordonné aux agences fédérales d'isoler (ou simplement de mettre hors tension, après avoir fait une image scientifique de la mémoire système et des systèmes d'exploitation hôtes) des serveurs SolarWinds, et de lancer une enquête sur les compromis sur leur réseau.

Le SANS Institute recommande Threat Hunts dans votre réseau en donnant la priorité à Discovery COA (en regardant en arrière).

Why a Threat Hunt?

Lorsque vous répondez à une violation, les meilleures pratiques indiquent que vous devez préserver les preuves numériques et effectuer une enquête. Répondre au compromis n'est pas aussi simple que de supprimer les logiciels malveillants Sunburst et SUPERNOVA. Avec n'importe quelle menace persistante avancée (APT), les attaquants peuvent avoir été dans votre réseau pour obtenir des autorisations administratives ou forger des jetons SAML pour se faire passer pour des utilisateurs. Les attaquants réorganiseront et prépareront le terrain pour de nouveaux compromis. SUPERNOVA démontre le risque de ces vecteurs d'attaque supplémentaires. Les tactiques offensives en supposant qu'un attaquant se trouve à l'intérieur de votre organisation sont le meilleur moyen de contenir et d'éradiquer.

Une chasse aux menaces implique une utilisation proactive de techniques manuelles ou assistées par machine par un analyste en cybersécurité, souvent membre d'une équipe de réponse aux incidents, pour détecter les failles de sécurité qui peuvent échapper à la maîtrise des systèmes automatisés comme les antivirus, les pare-feu, les scanners, etc. L'analyste parcourt les renseignements recueillis à partir des serveurs et des réseaux pour rechercher des activités menaçantes et identifier les problèmes de sécurité afin de remédier aux cyberattaques.

Assistance pour votre réponse

OpenText a émis un avis client fournissant aux clients EnCase ^TM Endpoint Security des règles de détection pour SUNBURST. Ceux-ci peuvent être téléchargés à partir du portail MySupport .

Pour obtenir des conseils, des conseils et une assistance concernant votre compromis SolarWinds, notre équipe de services professionnels est disponible pour:

• Mener une recherche avancée contre les menaces à la recherche de l'infection SUNBURST
• Recherchez sur le réseau un indicateur de compromis (IoC) fonctionnant dans votre environnement
• Digital Forensics and Incident Response of the infectés systèmes
• Développez des mesures préventives de cyberattaque pour alerter sur l'IoC et les tactiques, Techniques et procédures (TTP)

Pour en savoir plus sur nos services de sécurité, visitez notre site Web . Pour demander votre Threat Hunt ou obtenir de l'aide pour une réponse à un incident d'urgence, envoyez un e-mail à securityservices@opentext.com .