マルウェア

脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について

8 min read

次世代ファイアウォールによるSolarStormへの対応

次世代ファイアウォールのトラフィックモニタリングを使用し、ネットワーク内のSolarWindsシステムを識別することができます。このセクションでは、複数のクエリの詳細とその出力例について説明します。アプライアンスを保護に最適な方法で構成するためには、パロアルトネットワークス製品のベストプラクティスを採用することが不可欠です。

以下のクエリフィルタは、SolarWindsのApp-IDを使用してサーバーに接続しているホストを識別します。

(app eq solarwinds) or (app eq solarwinds-agent) or (app eq solarwinds-base) or (app eq solarwinds-msp-anywhere) or (app eq solarwinds-npm) or (app eq solarwinds-sam)

1	(app eq solarwinds) or (app eq solarwinds-agent) or (app eq solarwinds-base) or (app eq solarwinds-msp-anywhere) or (app eq solarwinds-npm) or (app eq solarwinds-sam)

URLフィルタリングは、侵害されたサーバーを特定するのにも役立ちます。このクエリフィルタは、SolarWindsダウンロードサーバーに接続しているシステム、特にSUNBURSTプラグインのアップデートをダウンロードしているシステムを特定します。

( url contains downloads.solarwinds.com ) or ( url eq 'downloads.solarwinds.com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp' )

1	( url contains downloads.solarwinds.com ) or ( url eq 'downloads.solarwinds.com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp' )

以下のURLフィルタリングクエリは、既知のSUNBURSTコマンドおよびC2ドメインへのトラフィックを識別します。

( url contains avsvmcloud.com ) or ( url contains freescanonline.com ) or ( url contains deftsecurity.com ) or ( url contains thedoccloud.com ) or ( url contains websitetheme.com ) or ( url contains highdatabase.com ) or ( url contains incomeupdate.com ) or ( url contains databasegalore.com ) or ( url contains panhardware.com ) or ( url contains zupertech.com ) or ( url contains virtualdataserver.com ) or ( url contains digitalcollege.org)

( url contains avsvmcloud.com ) or ( url contains freescanonline.com ) or ( url contains deftsecurity.com ) or ( url contains thedoccloud.com ) or ( url contains websitetheme.com ) or ( url contains highdatabase.com ) or ( url contains incomeupdate.com ) or ( url contains databasegalore.com ) or ( url contains panhardware.com ) or ( url contains zupertech.com ) or ( url contains virtualdataserver.com ) or ( url contains digitalcollege.org)

ファイルブロッキングは、SUNBURSTプラグインのアップデートに関連する既知のファイル名をダウンロードしたホストを識別します。

( filename eq SolarWinds-Core-v2019.4.5220-Hotfix5.msp ) and ( threat_name eq 'Windows Installer Patch MSP File' )

1	( filename eq SolarWinds-Core-v2019.4.5220-Hotfix5.msp ) and ( threat_name eq 'Windows Installer Patch MSP File' )

脅威ログで、SUNBURSTのコマンドとC2トラフィックを示すDNSクエリを洗い出すことができます。以下のフィルタは、バックドアで使用される既知のドメイン名を識別します。

( threat_name eq 'generic:avsvmcloud.com' ) or ( threat_name eq 'generic:freescanonline.com' ) or ( threat_name eq 'generic:deftsecurity.com' ) or ( threat_name eq 'generic:thedoccloud.com' ) or ( threat_name eq 'generic:websitetheme.com' ) or ( threat_name eq 'generic:highdatabase.com') or ( threat_name eq 'generic:incomeupdate.com' ) or ( threat_name eq 'generic:databasegalore.com' ) or ( threat_name eq 'generic:panhardware.com' ) or ( threat_name eq 'generic:zupertech.com' ) or ( threat_name eq 'generic:virtualdataserver.com' ) or ( threat_name eq 'generic:digitalcollege.org' )

( threat_name eq 'generic:avsvmcloud.com' ) or ( threat_name eq 'generic:freescanonline.com' ) or ( threat_name eq 'generic:deftsecurity.com' ) or ( threat_name eq 'generic:thedoccloud.com' ) or ( threat_name eq 'generic:websitetheme.com' ) or ( threat_name eq 'generic:highdatabase.com') or ( threat_name eq 'generic:incomeupdate.com' ) or ( threat_name eq 'generic:databasegalore.com' ) or ( threat_name eq 'generic:panhardware.com' ) or ( threat_name eq 'generic:zupertech.com' ) or ( threat_name eq 'generic:virtualdataserver.com' ) or ( threat_name eq 'generic:digitalcollege.org' )

次の v9.x 用クエリを使って関連DNSクエリを洗い出すこともできます。

( url eq 'Suspicious DNS Query (generic:avsvmcloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:freescanonline.com)' ) or ( url eq 'Suspicious DNS Query (generic:deftsecurity.com)' ) or ( url eq 'Suspicious DNS Query (generic:thedoccloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:websitetheme.com)' ) or ( url eq 'Suspicious DNS Query (generic:highdatabase.com)' ) or ( url eq 'Suspicious DNS Query (generic:incomeupdate.com)' ) or ( url eq 'Suspicious DNS Query (generic:databasegalore.com)' ) or ( url eq 'Suspicious DNS Query (generic:panhardware.com)' ) or ( url eq 'Suspicious DNS Query (generic:zupertech.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualdataserver.com)' ) or ( url eq 'Suspicious DNS Query (generic:digitalcollege.org)' ) or ( url eq 'Suspicious DNS Query (generic:solartrackingsystem.net)' ) or ( url eq 'Suspicious DNS Query (generic:webcodez.com)' ) or ( url eq 'Suspicious DNS Query (generic:seobundlekit.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualwebdata.com)' ) or ( url eq 'Suspicious DNS Query (generic:lcomputers.com)' ) or ( url eq 'Suspicious DNS Query (generic:mobilenweb.com)' )  or ( url eq 'Suspicious DNS Query (generic:kubecloud.com)' )

( url eq 'Suspicious DNS Query (generic:avsvmcloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:freescanonline.com)' ) or ( url eq 'Suspicious DNS Query (generic:deftsecurity.com)' ) or ( url eq 'Suspicious DNS Query (generic:thedoccloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:websitetheme.com)' ) or ( url eq 'Suspicious DNS Query (generic:highdatabase.com)' ) or ( url eq 'Suspicious DNS Query (generic:incomeupdate.com)' ) or ( url eq 'Suspicious DNS Query (generic:databasegalore.com)' ) or ( url eq 'Suspicious DNS Query (generic:panhardware.com)' ) or ( url eq 'Suspicious DNS Query (generic:zupertech.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualdataserver.com)' ) or ( url eq 'Suspicious DNS Query (generic:digitalcollege.org)' ) or ( url eq 'Suspicious DNS Query (generic:solartrackingsystem.net)' ) or ( url eq 'Suspicious DNS Query (generic:webcodez.com)' ) or ( url eq 'Suspicious DNS Query (generic:seobundlekit.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualwebdata.com)' ) or ( url eq 'Suspicious DNS Query (generic:lcomputers.com)' ) or ( url eq 'Suspicious DNS Query (generic:mobilenweb.com)' ) or ( url eq 'Suspicious DNS Query (generic:kubecloud.com)' )

This example shows how to expose relative DNS queries signaling possible SolarStorm compromise.

WildFire と脅威防御は、既知の SUNBURST バックドアファイルを識別します。次のフィルタは、脅威ログのSUNBURSTに関連する特定の脅威を識別します。

(name-of-threatid eq 392983194) or (name-of-threatid eq 392972205) or (name-of-threatid eq 393078495)

1	(name-of-threatid eq 392983194) or (name-of-threatid eq 392972205) or (name-of-threatid eq 393078495)

次のフィルタは、WildFire への送信ログで WildFire に送信された既知の SUNBURST および TEARDROP ファイルを識別します。

( filedigest eq ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 ) or ( filedigest eq 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 ) or ( filedigest eq 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 ) or ( filedigest eq 118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51 )

( filedigest eq ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 ) or ( filedigest eq 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 ) or ( filedigest eq 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 ) or ( filedigest eq 118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51 )

脅威防御では、SolarStorm が使用する Cobalt Strike BEACONと、SUNBURSTからのC2トラフィックを検出できます。以下のフィルタは、脅威ログでこのC2トラフィックを識別します。

(name-of-threatid eq 86237) or (name-of-threatid eq 86238) or (name-of-threatid eq 86239) or (name-of-threatid eq 86240) or (name-of-threatid eq 86242) or (name-of-threatid eq 86243) or (name-of-threatid eq 86244) or (name-of-threatid eq 86245) or (name-of-threatid eq 86246) or (name-of-threatid eq 86247) or (name-of-threatid eq 86248) or (name-of-threatid eq 86249) or (name-of-threatid eq 86250) or (name-of-threatid eq 86251)

(name-of-threatid eq 86237) or (name-of-threatid eq 86238) or (name-of-threatid eq 86239) or (name-of-threatid eq 86240) or (name-of-threatid eq 86242) or (name-of-threatid eq 86243) or (name-of-threatid eq 86244) or (name-of-threatid eq 86245) or (name-of-threatid eq 86246) or (name-of-threatid eq 86247) or (name-of-threatid eq 86248) or (name-of-threatid eq 86249) or (name-of-threatid eq 86250) or (name-of-threatid eq 86251)

Threat Prevention can detect command and control traffic from SUNBURST as well as the Cobalt Strike Beacon used by SolarStorm.

続きを読む: Cortex XDR および/または Cortex XSOAR による SolarStorm への対応

最初に戻る