SolarWinds Orion Ataque a la cadena de suministro: C2, mitigación y orientación experta
Table of Contents
Para obtener orientación sobre el problema de Solarwinds, consulte DHS , SolarWinds , FireEYE , MSRC , and Microsoft
Los usuarios avanzados pueden consultar la FireEYE Countermeasures Repo sobre esta cuestión.
SANS tiene un buen vídeo sobre el tema here
Ejecutables:
La DLL en cuestión es SolarWinds.Orion.Core.BusinessLayer.dll y se firmó como parte ligítima de la suite SolarWinds, saltándose las tecnologías de control de aplicaciones. Se instala como un servicio.
El código malicioso se inyectó en una DLL legítima y se carga en la memoria cuando se ejecuta la aplicación. El código se ejecuta antes que el código legítimo. Según Microsoft, el código se activa cuando SolarWinds.BusinessLayerHost.exe ejecutable se ejecuta, pero también puede cargarlo lo siguiente:
ConfigurationWizard.exeNetflowDatabaseMaintenance.exeNetFlowService.exeSolarWinds.Administration.exeSolarWinds.BusinessLayerHost.exeSolarWinds.Collector.Service.exeSolarwindsDiagnostics.exe
Información de red:
Rangos generales:
- DNS CNAMEs para C2:
.appsync-api.eu-west-1[.]avsvmcloud[.]com.appsync-api.us-west-2[.]avsvmcloud[.]com.appsync-api.us-east-1[.]avsvmcloud[.]com.appsync-api.us-east-2[.]avsvmcloud[.]com
- Rangos IP para C2:
20.140.0.0/1596.31.172.0/24131.228.12.0/22144.86.226.0/24
Identificación específica:
- Nombres DNS asociados con C2:
6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]comgq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]comihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]comk5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]commhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
- IPs asociadas con C2:
13.59.205.6654.193.127.6654.215.192.5234.203.203.23139.99.115.2045.252.177.255.252.177.21204.188.205.17651.89.125.18167.114.213.199
DLL Locations
C:\Program Files (x86)\N-able Technologies\Windows Software Probe\bin\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\Solarwinds\Network Topology Mapper\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\Solarwinds\Network Topology Mapper\Service\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\DPI\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\NCM\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\Interfaces.Discovery\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\DPA\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\HardwareHealth\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\Interfaces\SolarWinds.Orion.Core.BusinessLayer.dlC:\Program Files (x86)\SolarWinds\Orion\NetFlowTrafficAnalysis\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\NPM\SolarWinds.Orion.Core.BusinessLayer.dll
Microsoft Malicious DLL Table:
FireEYE Indicator Table:
Sites Known to Be Hit By SunBurst/SolarFlare:
Related Posts
