This post is also available in: English (英語)

Cortex XDR による SolarStorm への対応

Cortex XDR Proをご利用中のお客様は、製品既存のアラートセットを活用して関連アクティビティを検索できます。

Cortex XDR Managed Threat Hunting Serviceでは、現在サービスに加入していないお客様も含め、すべてのXDR Proのお客様が利用できるすべてのデータをスキャンし、調査結果に基づく影響レポートをすべてのXDR Proのお客様に送信しています。

まず、組織が侵害されているかどうかを把握するために、App-IDと既知のSolarWindsドメインを活用し、エンドポイントかネットワークデータのいずれかに基づいて、以下のクエリでSolarWindsのインストールを検索します(本稿に記載したクエリについては、更新済みでコピー&ペーストしやすいGitHubのものも合わせてご利用いただけます)。

This shows how to leverage AppID and known SolarWinds domains to search for SolarWinds installations based either on endpoint or network data.

攻撃の被害を受けているかどうかを確認するには、パロアルトネットワークスの次世代ファイアウォールまたはSolarWindsサーバーにインストールされたエージェントがあると仮定した場合、クエリを実行することで既知のIOCをチェックできます。

IP、ドメイン、ハッシュ、ファイル名などの既知のIOCは、Cortex XDRにロードすることができます。Cortex XDR は自動的に後方スキャンを実行し、過去の履歴データに基づいてアラートを生成します。

これを行うには、すべての IOC を含むファイルを1つ作成します。

IOCs for SolarWinds and SolarStorm

Rules、IOCの順にページを移動し、[+ Add IOC] をクリックし、ポップアップ表示で[Upload File]を選択します。

This shows how to add SolarStorm and SolarWinds IOCs to Cortex XDR.

ファイルを追加し、Severity (深刻度)、Reputation (評判)、Reliability (信頼性)、Expiration (有効期限) を割り当て、[Upload] をクリックします。

ロード後、[Backward Scan Status (後方スキャンステータス)] は「保留中」となり、[# of Hits(ヒット数)] には「0」が表示されます。 数分ほどでタイムスタンプつきでステータスが [Done(完了)] に変更されます。

なんらかの一致が見つかった場合は[# of Hits]が「0」から変化し、システム上で見つかったIOCごとのヒット数が表示されます。

If any matches were found, you'll see the # of Hits displayed per IOC.

IOCを右クリックして[View Associated Alerts (関連アラートの表示)]を選択すると、アラートページにピボットすることができます。

You can right-click on the IOC and select "View Associated Alerts" to pivot to the alert page, as shown.

Cortex XDRでルール名の横にこのアイコン ICON indicates historic match based on backwards scanning on an IOC or Behavioral IOC. が表示される場合、これはIOCまたはBehavioral IOCの後方スキャンに基づく履歴による一致であることを意味しています。

Historic matches based on backward scanning on an IOC or Behavioral IOC appear as shown.

アラートを右クリックして分析してドリルダウンすることができます。

逆に、既知の IOC を使用して、 XQL クエリを実行することもできます。これにより、NGFW、Cortex Agent、またはCortex XDR Data Lakeに取り込まれたサードパーティネットワーク トラフィック由来のファイル書き込み、モジュール ロード、プロセス実行、ネットワーク トラフィック、DNSクエリを横断的に調べることができます。

Historic matches based on backward scanning on an IOC or Behavioral IOC appear as shown.
攻撃者は異なるドメインやハッシュを使用している可能性があるため、既知のIOCの検索に加えて、感染したSolarWinds実行ファイルの動作を探すことをお勧めします。

以下のクエリを使用して、疑わしい動作が行われていないことを確認することをお勧めします。

1. SolarWindsバイナリが添付されているアラートやインシデント、またはCobalt Strikeに関連するアラートを確認してください。攻撃者による同フレームワークの使用が確認されています。

Look at alerts and incidents that have any SolarWinds binary attached to them or any alerts related to Cobalt Strike

Look at alerts and incidents that have any SolarWinds binary attached to them or any alerts related to Cobalt Strike, as these attackers have been seen using the framework.

2. 感染したSolarWindsプロセスによってドロップされたバイナリファイルやスクリプトファイルを探します。

Look for binary and scripting files dropped from the infected SolarWinds process

3. 感染したSolarWindsプロセスがSolarWinds以外のドメインにアクセスしている兆候がないか確認します。

Look for signs of the infected SolarWinds process accessing non-SolarWinds domains

4. Windows Management Instrumentationクエリを実行している感染SolarWindsプロセスがないか探します。

5. 感染したSolarWindsプロセスがサービスを変更または作成していないか探します。

Look for the infected SolarWinds process modifying or creating a service

6. ネットワーク接続を開始したバックドア化された DLLを探し出し、アルゴリズムで生成されたドメイン (DGA) を含む疑わしい接続を探すことができます。

7. 既知のバックドアの名前付きパイプを元にハンティングします。

(IoCについては本稿結論ページを参照)

最新リリースの Cortex XDR 2.6.5 に加わった新機能では、Azure Active Directory (AD) の監査ログを照会することにより、脅威アクターがアクセスを取得後、バックドア経由でクレデンシャルを奪取して以降に行ったアクティビティを検索できるようになりました。弊社の管理者ガイドにしたがってCortex XDRを設定している場合は次のクエリでそれらの活動を検索できます。

1. 作成ないし変更されたAzure ADサービスアカウントを探す:

2. 追加テナントに対するAzure ADアプリケーション共有をハントする:

3. Azure ADのカスタムの未検証ドメイン追加をハントする:

4. 特定ドメインに対するSSO無効化をハントする:

5. 変更されたドメインフェデレーション設定をハントする:

6. サービス プリンシパルにメールパーミッションが追加されたケースをハントする:

これらのクエリは、実行しやすいよう、ライブラリからアクセスできるようになっています。

These queries are waiting in the Cortex XDR query center for easy execution.

(IoCについては本稿巻末の付録を参照するかGitHubを参照してください)

Cortex XSOAR による SolarStorm への対応

Cortex XSOARは、ネットワーク内のSolarWindインストールの発見を迅速化し、潜在的なSolarStorm活動の兆候を検出し、危険なエンドポイントの隔離などの対応アクションを自動化するための迅速な対応プレイブックを公開しました。

続きを読む: 結論、追加資料とIOC

最初に戻る

Enlarged Image