脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について

By

Category: Threat Brief, Unit 42

Tags: , , , , ,

Threat brief conceptual image, representing Unit 42 threat briefs such as this post, covering SolarStorm and SUNBURST

This post is also available in: English (英語)

最終更新: 2021-01-18 17:43 JST (英語版の 2021-01-15 16:45 PST の内容までを反映)

概要

12月13日の日曜日、FireEyeは、同社がUNC2452と呼ぶ未知のアクターによる侵害とデータ漏えいに関連する情報を公開しました。Unit 42では同攻撃グループをSolarStormと呼び、これに関連する活動を追跡し、観測されたテクニック、IoC、行動方針を含むATOMをUnit 42 ATOM Viewerに公開しました。FireEyeによると、SolarStormは、SolarWindsのOrionプラットフォームのトロイの木馬化された更新ファイルにより構成されるサプライチェーン攻撃によって、世界中の組織を侵害しています。

FireEyeのブログ「Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims with SUNBURST Backdoor (非常に回避に長けた攻撃者がSolarWindsサプライチェーンを活用してSUNBURSTバックドアにより複数の世界中の被害者を侵害)」には、豊富に有用な情報が含まれており、そのすべてを私たち Unit 42のリサーチャーは分析し、パロアルトネットワークスのお客様を確実に保護するために役立てています。

SolarWinds OrionのIT管理ソフトウェアを使用している組織は、この脅威による侵害リスクがあります。該当する組織は、ネットワーク内にあるOrionシステムを直ちに特定し、SUNBURSTバックドアに感染していないかどうか判断し、侵害の痕跡を探す必要があります。パロアルトネットワークスの次世代ファイアウォールCortex XDR、Cortex XSOAR を使用してこれらの作業を実行する方法については、このレポートに記載されてあります。あわせて追加資料、侵害の指標(IOC)も参照してください。

この攻撃の詳細とその影響は進化し続けていますので、本レポートは、新しく詳細情報が入り次第更新されます。

SolarStormとSUNBURSTについてわかっていること

  • SolarStormは、SolarWindsのOrion ITパフォーマンス・統計監視用ソフトウェアに対する攻撃で特にサプライチェーンを標的にしていた
  • エクスプロイト後のアクティビティからは、SolarStormが高度なスキルを持つ脅威アクターであり、かなりセキュリティを重視してオペレーションを行っていることが伺える
  • SolarWindsは最近SECにレポートを提出し、そのなかで30万以上の顧客のうちOrionソフトウェアのトロイの木馬バージョンを実行している顧客数は1万8,000未満であることを示している
  • SolarStormの脅威アクターは、SolarWindsのOrionプラグインのトロイの木馬化バージョンとして、正当にデジタル署名されたバックドアであるSUNBURSTを作成した。トロイの木馬化されたSUNBURSTは、配布用の強力なサプライチェーン浸透メカニズムとして機能する
  • SUNBURSTは、FireEyeがTEARDROP、Cobalt Strike BEACONと名付けたほぼオンメモリのドロッパーを中心に、複数のペイロードを配布することが確認されている
  • SUNBURSTのコマンド&コントロール(C2)トラフィックは、正当なOrion Improvement Programトラフィックになりすます
  • FireEyeは SolarStormのアクティビティ識別に役立つシグネチャと特定IoC(指標)を公開している

FireEyeによる調査は、ただ有用なシグネチャを提供しているだけでなく、SolarStormによるアクティビティの追跡とハンティングに役立つIoCをも提供しているという意味において、ほかとは一線を画す出来となっています。これらのIoC概要を以下に示します。

SUNBURST

本稿公開時点では、SolarWindsのOrion製品のトロイの木馬化バージョンを含むWindowsインストーラーパッチファイルにまだアクセスできました。

ファイル名: SolarWinds-Core-v2019.4.5220-Hotfix5.msp
SHA-256: d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600

このインストーラーには以下のものが含まれています。

  • 正規のSolarWinds Orionアップデートコンポーネント
  • デジタル署名されたSUNBURSTバックドアとその構成ファイルは以下の通り:
    • SHA-256: 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
      • ファイル名: SolarWinds.Orion.Core.BusinessLayer.dll
      • Certificate SN: 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed
    • SHA-256: efbec6863f4330dbb702cc43a85a0a7c29d79fde0f7d66eac9a3be43493cab4f
      • ファイル名: SolarWinds.Orion.Core.BusinessLayer.dll.config

この一連の攻撃に関連するインフラストラクチャには、次のものがあります。

  • 次の場所でホストされているトロイの木馬化された更新ファイル:
    • hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp
  • ドメイン生成アルゴリズムで以下のサブドメインとして生成されるC2:
    • avsvmcloud[.]com
  • SUNBURSTインシデントにおいて確認されたC2ドメイン。CNAMEレコードないしインシデントのその後の段階のもの(BEACONコンポーネントなど)を含む:
      • freescanonline[.]com
      • deftsecurity[.]com
      • thedoccloud[.]com
      • websitetheme[.]com
      • highdatabase[.]com
      • incomeupdate[.]com
      • databasegalore[.]com
      • panhardware[.]com
      • Zupertech[.]com
      • Virtualdataserver[.]com
      • digitalcollege[.]org
      • solartrackingsystem[.]net
      • webcodez[.]com
      • seobundlekit[.]com
      • virtualwebdata[.]com
      • lcomputers[.]com
      • avsvmcloud[.]com
      • Mobilnweb[.]com
      • kubecloud[.]com

TEARDROP

SUNBURSTは複数の異なるペイロードを展開します。そのなかの少なくとも1つでは、FireEyeが「TEARDROP」と名付けたオンメモリ型のドロッパがCobalt Strike BEACONを展開していました。私たち Unit 42チームでも入手可能な情報を分析したところ、TEARDROPマルウェアの絡むアクティビティが特定でき、このマルウェアがカスタマイズ済みCobalt Strike BEACONを実行するのに使われていたことがわかりました。このサンプルにはこれまで報告されたことのなかったドメインmobilnweb[.]com へのビーコン要求が含まれていました。

このTEARDROP DLLのSHA256値は以下の通りです。

118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51

この DLLには URI /2019/Person-With-Parnters-Brands-Our/ へのビーコン要求が含まれており、User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 が与えられています。その同じ設定の中には /2019/This-Person-Two-Join-With/という文字列を含む追加のURI設定も観測されました。

お客様の保護について

本稿執筆時点で、公開されたシグネチャと観測内容にもとづき、パロアルトネットワークスのお客様は、弊社製品エコシステム全体で保護されています。それぞれの製品での具体的な保護対策が、以下の製品ならびに次世代ファイアウォール(NGFW)のサブスクリプションに展開済みか、展開中となっています。お客様の保護に最適な方法でアプライアンスを構成するには、パロアルトネットワークス製品のベストプラクティスを採用することが不可欠です。

これらの攻撃の性質上、弊社のお客様には直ちに以降に述べる検索を行うことをお勧めします。

Cortex XDR

Cortex XDRをご利用中のお客様は、同製品のWildFireとの統合、ローカル分析、パスワード盗難防御モジュール、行動脅威保護(BTP)エンジンにより保護されています。Cortex XDR用の保護は、継続的に評価、開発、展開されます。

Cortex XDR Managed Threat Hunting

弊社Cortex XDR Managed Threat Hunting Team (Cortex XDRマネージド脅威ハンティングチーム、MTH) は、すべてのXDR Pro顧客ログを積極的に検索し、影響を受ける可能性のある組織を特定し、リスク評価を提供しています。Cortex XSOARの自動化機能を活用し、ネットワーク内のSolarWindインストールの検出を高速化し、潜在的なSolarStorm活動の兆候を検出し、危険なエンドポイントの隔離などの対応アクションを自動化します。

WildFire (NGFWセキュリティサブスクリプション)

WildFireをご利用中のお客様は、SolarStormに関連する既知のSUNBURSTバックドアファイルやCobalt Strike BEACONファイルのダウンロードから保護されています。

FireEyeから提供されたYaraルールや観測内容を活用してのギャップ分析・脅威ハンティングにより、Unit 42のリサーチャーは、潜在的なSolarStormに関連する新しいマルウェアを識別することができました。引き続きそれらをWildFire用に分析し、保護の作成と展開を行っているところです。

AutoFocus

AutoFocusをご利用のお客様は、次のタグでSolarStormのアクティビティを追跡できます: SolarStormSUPERNOVATEARDROP、SUNBURST

IoTセキュリティ (NGFWセキュリティサブスクリプション)

IoT セキュリティサブスクリプションには、SolarWindsサーバーを識別する機能があります。これらのデバイスはIoTセキュリティユーザーポータルのUIに追加されており、Device-IDの属性はPAN-OSにプッシュされます。これらのデバイスは、IoTセキュリティユーザーポータルのUI内で「SolarWinds Network Management Device (SolarWindsネットワーク管理デバイス)」としてユーザーに表示されます。PAN-OSでは、ユーザーにはDevice-ID属性 “Profile” = “SolarWinds Network Management Device” が表示されます。この機能は今週すべてのIoTセキュリティのお客様に対して有効となります。

脅威防御 DNSセキュリティ(NGFWセキュリティサブスクリプション)

脅威防御とDNSセキュリティは、C2ビーコンに関連するトラフィックへの保護を提供します。脅威防御サブスクリプション用の保護は、継続的に評価、開発、展開されます。

コンテンツバージョン8354で、以下の脅威防御シグネチャが追加されました。

Snortルール PANW UTID
Backdoor.BEACON_5.snort 86237
Backdoor.BEACON_6.snort 86238
Backdoor.SUNBURST_11.snort 86239
Backdoor.SUNBURST_14.snort 86240
Backdoor.BEACON_7.snort 86242
Backdoor.SUNBURST_12.snort 86243
Backdoor.BEACON_8.snort 86244
Backdoor.SUNBURST_13.snort 86245
Backdoor.SUNBURST_1.snort 86246
Backdoor.SUNBURST_10.snort 86247
Backdoor.BEACON_2.snort 86248
Backdoor.BEACON.snort 86249
Backdoor.BEACON_0.snort 86250
Backdoor.BEACON_1.snort 86251

表 1: Snort と PANW UTIDとの対応

URLフィルタリング(NGFWセキュリティサブスクリプション)

本稿執筆時点で本稿で説明した関連インフラストラクチャはマルウェアであることが正しく判定されます。

続きを読む: 次世代ファイアウォールによるSolarStormへの対応

最初に戻る