脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について

This post is also available in: English (英語)

結論

弊社製品をご利用中のお客様に対し、同脅威のアクティビティならびに実際に識別されたすべての脅威に対する製品組み込みの保護が継続的に更新されます。お客様には、Unit 42のリサーチャーが製品のエコシステム全体を確実に保護するため全力で取り組みを続けていることを知っておいていただければと思います。

弊社は顧客保護のために効果的な対策を展開してきましたが、これとはべつに、SolarWindsをご活用の組織の皆様がご自身で講じることのできる追加の保護手段がいくつかあります。

• 組織内のすべてのSolarWindsサーバーを識別し、それらをネットワークの他の部分から分離してインターネット向けのトラフィックをブロックする
• ネットワーク、エンドポイントのログでSUNBURST、TEARDROP、BEACONマルウェアのIoCを検索する
• 本稿の「追加資料」セクションに記載したSolarWindsのガイドラインを参照・評価し、将来のシステムアップデートに備える

このインシデントに関連しては多くの報道がなされており、SolarWindsを含め、複数のソースが情報を公開しています。重要な情報を選択したものを「追加資料」のセクションに一覧にしておきます。

追加資料

• • CISAの公開したアナウンス
  • SolarWindsのセキュリティアドバイザリ
  • Securing your Orion Platform instance (Orionプラットフォームインスタンスの保護)
  • SolarWindsがSECに提出したレポート
  • 脅威に関する情報: FireEyeレッドチームツールの漏えいについて

IoC (侵害の痕跡)

• freescanonline[.]com
• deftsecurity[.]com
• thedoccloud[.]com
• websitetheme[.]com
• highdatabase[.]com
• incomeupdate[.]com
• databasegalore[.]com
• panhardware[.]com
• zupertech[.]com
• Virtualwebdata[.]com
• virtualdataserver[.]com
• digitalcollege[.]org
• lcomputers[.]com
• webcodez[.]com
• deftsecurity[.]com
• globalnetworkissues[.]com
• kubecloud[.]com
• seobundlekit[.]com
• solartrackingsystem[.]net
• a7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed
• 5fabe36fb1da700a1c418e184c2e5332fe2f8c575c6148bdac360f69f91be6c2
• e9e646a9dba31a8e3debf4202ed34b0b22c483f1aca75ffa43e684cb417837fa
• b9cf6fbde82839e15413595a50aeb1044a8f4e3be180c42436e11675c22cf914
• 02f47b88caa73d607d820d258cd9f167ed266af99a62e10c9220a7e0228cf53e
• c0fc006ffa92d0111197f8e3a1d2ba06a326eddc3d0b28111727df8e52805cf8
• b05640e8f35761435e3cf22524136808a891304f10ec9f354eb9decc43cb617e
• 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
• ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
• 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
• c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
• 6e4050c6a2d2e5e49606d96dd2922da480f2e0c70082cc7e54449a7dc0d20f8d

更新履歴

• 2020-12-16 「概要」にUnit 42 ATOM Viewerへのリンクを追記しました。
• 2020-12-16  SUNBURSTについてわかっていることの部分で、「ドメイン生成アルゴリズムで生成されたC2からCNAMEを介して取得されるマルウェアの接続先C2ドメイン」を「SUNBURSTインシデントにおいて確認されたC2ドメイン。CNAMEレコードないしインシデントのその後の段階を含む（BEACONコンポーネントなど）」に変更しました。
• 2020-12-17 概要に以下の文言が追記されました。「SolarWinds OrionのIT管理ソフトウェアを使用している組織は、この脅威による侵害リスクがあります。該当する組織は、ネットワーク内にあるOrionシステムを直ちに特定し、SUNBURSTバックドアに感染していないかどうか判断し、侵害の痕跡を探す必要があります。パロアルトネットワークスの次世代ファイアウォール、Cortex XDR、Cortex XSOAR を使用してこれらの作業を実行する方法については、このレポートに記載されてあります。あわせて追加資料、侵害の指標（IOC）も参照してください。」
• 2020-12-17 「お客様の保護について」のセクションに「お客様の保護に最適な方法でアプライアンスを構成するには、パロアルトネットワークス製品のベストプラクティスを採用することが不可欠です。」を追加しました。
• 2020-12-17 Cortex XDR Managed Threat Huntingのセクションに「Cortex XSOARの自動化機能を活用し、ネットワーク内のSolarWindインストールの検出を高速化し、潜在的なSolarStorm活動の兆候を検出し、危険なエンドポイントの隔離などの対応アクションを自動化します。」を追記しました。
• 2020-12-17 WildFire セクションの記述を更新しました。「WildFireをご利用中のお客様は、SolarStormに関連する既知のSUNBURSTバックドアファイルやCobalt Strike BEACONファイルのダウンロードから保護されています。FireEyeから提供されたYaraルールや観測内容を活用してのギャップ分析・脅威ハンティングにより、Unit 42のリサーチャーは、潜在的なSolarStormに関連する新しいマルウェアを識別することができました。引き続きそれらをWildFire用に分析し、保護の作成と展開を行っているところです。」
• 2020-12-17 App-ID のセクションを削除し、より詳細な説明を「次世代ファイアウォールによるSolarStormへの対応」へと分割しました。
• 2020-12-17 Cortex XDR および Cortex XSOAR による対応を詳細に説明するセクションを「Cortex XDR および/または Cortex XSOAR による SolarStorm への対応」に設けました。
• 2020-12-17 巻末に「侵害の痕跡(IoC)」を追加しました。
• 2200-12-17 脅威防御とDNSセキュリティのセクションにSnortルールとPANW UTIDとの対応表を追記しました。
• 2020-12-18 「Cortex XDR による SolarStorm への対応」の手順7を「既知のバックドアの名前付きパイプを元にハンティングします。」に更新しました。
• 2020-12-18 「注: 日本語版では以下のクエリのコピー&ペーストがしやすいように、シンタックスハイライトを設定しています。シンタックスハイライトされているコマンドは、コピーアイコンをクリックするとコピーできます。なお、本稿に記載のコマンドを実行するにあたりオリジナルの英語版を参照する場合は、スマートクォートなどの書式情報がコマアンド内に残っていないことを確認してください。こちらのGitHubにもコピー&ペーストしやすいバージョンを用意してあります。」を追記しました。
• 2020-12-18 「Cortex XDR による SolarStorm への対応」の一連のスクリーンショット画像が更新されました。
• 2020-12-18 「次世代ファイアウォールによるSolarStormへの対応」に v9.x 用の検索クエリと対応する図を追加しました。
• 2020-12-18 「SUPERNOVA: SolarStormの斬新な .NET Webシェル」へのリンクを「追加資料」に追記しました。
• 2020-12-21 「IoC」に以下2つのハッシュ値を追記しました。
  • c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
  • 6e4050c6a2d2e5e49606d96dd2922da480f2e0c70082cc7e54449a7dc0d20f8d
• 2020-12-21「Cortex XDR による SolarStorm への対応」セクションの既知のIoCによる XQL クエリが更新されました。
• 2020-12-25 「Cortex XDR による SolarStorm への対応」セクションの既知のIoCによる XQL クエリが更新されました。
• 2020-12-25 最新リリースの Cortex XDR 2.6.5 に加わった新機能を使い、Azure Active Directory (AD) の監査ログを照会して、脅威アクターがアクセスを取得後にバックドア経由でクレデンシャルを奪取して以降に行ったアクティビティを検索するための各種クエリを追記しました。
• 2020-12-25 参考資料から「SUPERNOVA: SolarStormの斬新な .NET Webシェル」への参照を削除し、「タイムラインで見たSolarStormサプライチェーン攻撃」への参照を追記しました。
• 2020-12-25 NGFW v9.xで本脅威に関連する DNS クエリを洗い出すためのクエリが更新されました。
• 2020-12-25 Cortex XDR の手順セクションに「（本稿に記載したクエリについては、更新済みでコピー&ペーストしやすいGitHubのものも合わせてご利用いただけます）」という1文を追記しました。クエリの内容も更新された内容を反映しました。
• 2020-12-25 英語版の表記がシンタックスハイライトに修正されたため、クエリ実行時の以下の注意次項を日本語版から削除しました「（注: 日本語版では以下のクエリのコピー&ペーストがしやすいように、シンタックスハイライトを設定しています。シンタックスハイライトされているコマンドは、コピーアイコンをクリックするとコピーできます。なお、本稿に記載のコマンドを実行するにあたりオリジナルの英語版を参照する場合は、スマートクォートなどの書式情報がコマンド内に残っていないことを確認してください。こちらのGitHubにもコピー&ペーストしやすいバージョンを用意してあります。）」
• 2020-12-25 Cortex XDR で疑わしい動作が行われていないことを確認するためのクエリ1〜7の書式が更新されました。
• 2021-01-18 「SUNBURSTインシデントにおいて確認されたC2ドメイン」として、以下のドメインが追加されました。
  • solartrackingsystem[.]net
  • webcodez[.]com
  • seobundlekit[.]com
  • virtualwebdata[.]com
  • lcomputers[.]com
  • avsvmcloud[.]com
  • Mobilnweb[.]com
  • kubecloud[.]com
• 2021-01-18「SolarStormとSUNBURSTについてわかっていること」の最下部に「TEARDROP」マルウェアについて追記しました。
• 2021-01-18 AutoFocus タグとして TEARDROP へのタグへのリンクを追加しました。
• 2021-01-18 新たに判明したC2ドメインを受け、関連DNSクエリを洗い出すv9.x 用クエリがそれらC2を含むものに更新されました。
• 2021-01-18 「次世代ファイアウォールによるSolarStormへの対応」において、WildFire への送信ログから WildFire に送信された既知の SUNBURST および TEARDROP ファイルを識別できるようにするため、TEARDROP を含むフィルタに更新されました。
• 2021-01-18「Cortex XDR による SolarStorm への対応」において、既知の IOC を使用して実行する XQL クエリの内容が更新されました。

最初に戻る