Методы обнаружения взломанного SolarWinds

Методы обнаружения взломанного SolarWinds

Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году .

Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..

Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем) 

Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.

В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:

- В IPS уже есть сигнатуры 

- В модуле анализа DNS есть индикаторы (IoC) центров управления.

- В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).

- В продуктах класса SOAR уже есть playbook для работы с SolarBurst . Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно .


- И также есть сервисы , когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.

Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds

Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

ksiva

Пусть будет утренний в честь того, что я его создал утром.