This post is also available in: English (英語)
次世代ファイアウォールによるSolarStormへの対応
次世代ファイアウォールのトラフィックモニタリングを使用し、ネットワーク内のSolarWindsシステムを識別することができます。このセクションでは、複数のクエリの詳細とその出力例について説明します。 アプライアンスを保護に最適な方法で構成するためには、パロアルトネットワークス製品のベストプラクティスを採用することが不可欠です。
以下のクエリフィルタは、SolarWindsのApp-IDを使用してサーバーに接続しているホストを識別します。
|
1 |
(app eq solarwinds) or (app eq solarwinds-agent) or (app eq solarwinds-base) or (app eq solarwinds-msp-anywhere) or (app eq solarwinds-npm) or (app eq solarwinds-sam) |
URLフィルタリングは、侵害されたサーバーを特定するのにも役立ちます。このクエリフィルタは、SolarWindsダウンロードサーバーに接続しているシステム、特にSUNBURSTプラグインのアップデートをダウンロードしているシステムを特定します。
|
1 |
( url contains downloads.solarwinds.com ) or ( url eq 'downloads.solarwinds.com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp' ) |
以下のURLフィルタリングクエリは、既知のSUNBURSTコマンドおよびC2ドメインへのトラフィックを識別します。
|
1 |
( url contains avsvmcloud.com ) or ( url contains freescanonline.com ) or ( url contains deftsecurity.com ) or ( url contains thedoccloud.com ) or ( url contains websitetheme.com ) or ( url contains highdatabase.com ) or ( url contains incomeupdate.com ) or ( url contains databasegalore.com ) or ( url contains panhardware.com ) or ( url contains zupertech.com ) or ( url contains virtualdataserver.com ) or ( url contains digitalcollege.org) |
ファイルブロッキングは、SUNBURSTプラグインのアップデートに関連する既知のファイル名をダウンロードしたホストを識別します。
|
1 |
( filename eq SolarWinds-Core-v2019.4.5220-Hotfix5.msp ) and ( threat_name eq 'Windows Installer Patch MSP File' ) |
脅威ログで、SUNBURSTのコマンドとC2トラフィックを示すDNSクエリを洗い出すことができます。以下のフィルタは、バックドアで使用される既知のドメイン名を識別します。
|
1 |
( threat_name eq 'generic:avsvmcloud.com' ) or ( threat_name eq 'generic:freescanonline.com' ) or ( threat_name eq 'generic:deftsecurity.com' ) or ( threat_name eq 'generic:thedoccloud.com' ) or ( threat_name eq 'generic:websitetheme.com' ) or ( threat_name eq 'generic:highdatabase.com') or ( threat_name eq 'generic:incomeupdate.com' ) or ( threat_name eq 'generic:databasegalore.com' ) or ( threat_name eq 'generic:panhardware.com' ) or ( threat_name eq 'generic:zupertech.com' ) or ( threat_name eq 'generic:virtualdataserver.com' ) or ( threat_name eq 'generic:digitalcollege.org' ) |
次の v9.x 用クエリを使って関連DNSクエリを洗い出すこともできます。
|
1 |
( url eq 'Suspicious DNS Query (generic:avsvmcloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:freescanonline.com)' ) or ( url eq 'Suspicious DNS Query (generic:deftsecurity.com)' ) or ( url eq 'Suspicious DNS Query (generic:thedoccloud.com)' ) or ( url eq 'Suspicious DNS Query (generic:websitetheme.com)' ) or ( url eq 'Suspicious DNS Query (generic:highdatabase.com)' ) or ( url eq 'Suspicious DNS Query (generic:incomeupdate.com)' ) or ( url eq 'Suspicious DNS Query (generic:databasegalore.com)' ) or ( url eq 'Suspicious DNS Query (generic:panhardware.com)' ) or ( url eq 'Suspicious DNS Query (generic:zupertech.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualdataserver.com)' ) or ( url eq 'Suspicious DNS Query (generic:digitalcollege.org)' ) or ( url eq 'Suspicious DNS Query (generic:solartrackingsystem.net)' ) or ( url eq 'Suspicious DNS Query (generic:webcodez.com)' ) or ( url eq 'Suspicious DNS Query (generic:seobundlekit.com)' ) or ( url eq 'Suspicious DNS Query (generic:virtualwebdata.com)' ) or ( url eq 'Suspicious DNS Query (generic:lcomputers.com)' ) or ( url eq 'Suspicious DNS Query (generic:mobilenweb.com)' ) or ( url eq 'Suspicious DNS Query (generic:kubecloud.com)' ) |
WildFire と脅威防御は、既知の SUNBURST バックドア ファイルを識別します。次のフィルタは、脅威ログのSUNBURSTに関連する特定の脅威を識別します。
|
1 |
(name-of-threatid eq 392983194) or (name-of-threatid eq 392972205) or (name-of-threatid eq 393078495) |
次のフィルタは、WildFire への送信ログで WildFire に送信された既知の SUNBURST および TEARDROP ファイルを識別します。
|
1 |
( filedigest eq ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 ) or ( filedigest eq 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 ) or ( filedigest eq 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 ) or ( filedigest eq 118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51 ) |
脅威防御では、SolarStorm が使用する Cobalt Strike BEACONと、SUNBURSTからのC2トラフィックを検出できます。以下のフィルタは、脅威ログでこのC2トラフィックを識別します。
|
1 |
(name-of-threatid eq 86237) or (name-of-threatid eq 86238) or (name-of-threatid eq 86239) or (name-of-threatid eq 86240) or (name-of-threatid eq 86242) or (name-of-threatid eq 86243) or (name-of-threatid eq 86244) or (name-of-threatid eq 86245) or (name-of-threatid eq 86246) or (name-of-threatid eq 86247) or (name-of-threatid eq 86248) or (name-of-threatid eq 86249) or (name-of-threatid eq 86250) or (name-of-threatid eq 86251) |
続きを読む: Cortex XDR および/または Cortex XSOAR による SolarStorm への対応
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us