Varias fuentes han revelado recientemente un ataque sofisticado que afecta a las organizaciones a través de la cadena de suministro y un programa comprometido de monitoreo de red. Este post habla sobre el backdoor de Sunburst y lo que puede hacer ahora para mitigar esta amenaza.
Varias fuentes han revelado recientemente un ataque sofisticado que afecta a las organizaciones a través de la cadena de suministro. Esto se lleva a cabo por medio de una versión comprometida de una aplicación de monitoreo de red llamada SolarWinds Orion. Los atacantes usaron el acceso ofrecido por esta aplicación para plantar un backdoor conocido como Sunburst en las máquinas afectadas. Este backdoor le da acceso completo al atacante a la red de la organización.
¿Qué es Sunburst?
Sunburst es un backdoor sofisticado que le da al atacante control casi completo sobre un sistema afectado. Este backdoor, sin embargo, tiene varias peculiaridades en su comportamiento.
Antes de comenzar a ejecutarse, revisa que el name hash del proceso y una registry key han sido configurados con valores específicos. También sólo correrá si el tiempo de ejecución es igual o mayor a doce días después de que el sistema fue infectado; y únicamente en los sistemas que han sido unidos a un dominio. Este conjunto de circunstancias específicas dificulta el análisis de los investigadores y también limita el alcance de sus víctimas.
Se conecta con su servidor de comando-y-control a través de varios dominios, los cuales toman el siguiente formato:
[highlight background_color=”e6e6e6″ text_color=”000000″]{random strings}.appsync-api.{subdomain}.avsvmcloud.com [/highlight]
El subdominio es uno de los siguientes strings:
- eu-west-1
- eu-west-2
- us-east-1
- us-east-2
Una vez dentro del sistema, puede recolectar información acerca del sistema afectado y ejecutar varios comandos. La información recolectada incluye:
- Nombre del dominio
- Interfaces de red
- Procesos/servicios corriendo actualmente
- Drivers instalados
Esta información se usa ya sea para generar un ID de usuario para la máquina afectada o para revisar en “blocklists” – si ciertos drivers, procesos o servicios se encuentran en la máquina, el backdoor dejará de funcionar.
Los comandos que pueden ejecutarse incluyen:
- Operaciones de registro (leer, escribir y eliminar registros)
- Operaciones de archivos (leer, escribir y eliminar archivos)
- Iniciar/detener procesos
- Reiniciar el sistema
¿Quién se puede ver afectado?
Se cree que Sunburst se entrega a través de una versión troyana de la aplicación de monitoreo de redes Orion. De acuerdo con el reporte de SEC por SolarWinds, los actores maliciosos insertaron el código malicioso dentro del código legítimo, lo cual significa que cualquiera que haya descargado el software estuvo potencialmente en riesgo. Esto se hizo como parte del proceso del desarrollo; el código fuente del repositorio no se vio afectado.
De acuerdo con el reporte SEC de SolarWinds, esta versión “troyanizada” fue descargada por menos de 18,000 clientes entre marzo y junio de 2020. Una vez que este código malicioso está presente en un sistema, realiza las acciones descritas en la primera parte de este blog. Varias organizaciones, incluyendo agencias gubernamentales de los Estados Unidos, han reportado haber sido afectadas por esta campaña.
Soluciones
En una advertencia de seguridad, SolarWinds aconsejó a todos sus clientes afectados actualizar inmediatamente su software a versiones que no contengan el código malicioso. También se listan los productos apropiados y sus versiones. Nuestro artículo titulado Managing Risk While Your ITSM Is Down incluye sugerencias sobre cómo administrar su monitoreo de redes y otras soluciones de IT Systems Management (ITSM).
Además de todo esto, el Departamento de Seguridad Nacional de los Estados Unidos, en una directiva para las agencias gubernamentales de ese país, ordenó que se desconecten los sistemas con dicho software y no se vuelvan a conectar a las redes hasta que hayan sido reconstruidos. La directiva ordena que las agencias traten a esas máquinas como comprometidas, y que se cambien también las credenciales usadas por dichas máquinas. Las organizaciones que usen SolarWinds Orion en sus redes deben considerar pasos similares.
Los archivos maliciosos asociados con este ataque ya han sido detectados por los productos apropiados de Trend Micro como Backdoor.MSIL.SUNBURST.A y Trojan.MSIL.SUPERNOVA.A. Además, el dominio avsvmcloud.com completo ha sido bloqueado. Para las organizaciones que creen que pueden haber sido afectadas por esta campaña, esta página explica cuáles son las soluciones disponibles de Trend Micro para ayudar a detectar y mitigar cualquier riesgo derivado de esta campaña.
Indicadores de Compromiso
Los siguientes hashes están asociados con esta campaña y pueden detectarse con los productos de Trend Micro:
Los siguientes nombres de dominio están asociados con esta campaña y también han sido bloqueados:
| SHA256 | SHA1 | Trend Micro Detection |
| 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 | 2f1a5a7411d015d01aaee4535835400191645023 | Backdoor.MSIL.SUNBURST.A |
| c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71 | 75af292f34789a1c782ea36c7127bf6106f595e8 | Trojan.MSIL.SUPERNOVA.A |
| ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 | d130bd75645c2433f88ac03e73395fba172ef676 | Backdoor.MSIL.SUNBURST.A |
| 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 | 76640508b1e7759e548771a5359eaed353bf1eec | Backdoor.MSIL.SUNBURST.A |
| d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600 | 1b476f58ca366b54f34d714ffce3fd73cc30db1a | Backdoor.MSIL.SUNBURST.A |
- avsvmcloud[.]com
- databasegalore[.]com
- deftsecurity[.]com
- highdatabase[.]com
- incomeupdate[.]com
- panhardware[.]com
- thedoccloud[.]com
- zupertech[.]com
Leave a Reply