脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について

By

Category: Threat Brief, Unit 42

Tags: , , , ,

Threat brief conceptual image, representing Unit 42 threat briefs such as this post, covering SolarStorm and SUNBURST

This post is also available in: English (英語)

次世代ファイアウォールによるSolarStormへの対応

次世代ファイアウォールのトラフィックモニタリングを使用し、ネットワーク内のSolarWindsシステムを識別することができます。このセクションでは、複数のクエリの詳細とその出力例について説明します。 アプライアンスを保護に最適な方法で構成するためには、パロアルトネットワークス製品のベストプラクティスを採用することが不可欠です。

以下のクエリフィルタは、SolarWindsのApp-IDを使用してサーバーに接続しているホストを識別します。

Example query filter to identify hosts contacting a server using the SolarWinds App-ID.

URLフィルタリングは、侵害されたサーバーを特定するのにも役立ちます。このクエリフィルタは、SolarWindsダウンロードサーバーに接続しているシステム、特にSUNBURSTプラグインのアップデートをダウンロードしているシステムを特定します。

Example of how URL Filtering can help identify systems connecting to the SolarWinds download server and specifically downloading the SUNBURST plug-in update.

Example of URL Filtering categorizing the download of the SUNBURST plug-in update as malware.

以下のURLフィルタリングクエリは、既知のSUNBURSTコマンドおよびC2ドメインへのトラフィックを識別します。

Example of how URL Filtering can identify traffic to the known SUNBURST command and control domains.

ファイルブロッキングは、SUNBURSTプラグインのアップデートに関連する既知のファイル名をダウンロードしたホストを識別します。

Example of how File Blocking will identify hosts that have downloaded the known filenames associated with the SUNBURST plug-in update.

脅威ログで、SUNBURSTのコマンドとC2トラフィックを示すDNSクエリを洗い出すことができます。以下のフィルタは、バックドアで使用される既知のドメイン名を識別します。

Threat logs can expose DNS queries that indicate SUNBURST command and control traffic.

次の v9.x 用クエリを使って関連DNSクエリを洗い出すこともできます。

This example shows how to expose relative DNS queries signaling possible SolarStorm compromise.

WildFire と脅威防御は、既知の SUNBURST バックドア ファイルを識別します。次のフィルタは、脅威ログのSUNBURSTに関連する特定の脅威を識別します。

This example shows how WildFire and Threat Prevention can identify the specific threats associated with SUNBURST in the Threat log.

次のフィルタは、WildFire への送信ログで WildFire に送信された既知の SUNBURST ファイルを識別します。

This example shows how known SUNBURST files submitted to WildFire in the WildFire submissions log can be identified.

脅威防御では、SolarStorm が使用する Cobalt Strike BEACONと、SUNBURSTからのC2トラフィックを検出できます。以下のフィルタは、脅威ログでこのC2トラフィックを識別します。

Threat Prevention can detect command and control traffic from SUNBURST as well as the Cobalt Strike Beacon used by SolarStorm.

続きを読む: Cortex XDR および/または Cortex XSOAR による SolarStorm への対応

最初に戻る