Les produits Gateway McAfee bloquent tous les indicateurs réseau connus de compromission (IOC).
La couverture de tous les fichiers binaires connus utilisés dans cette attaque est traitée dans le
4287 V3 DATs (ENS) et le
9835 V2 DATs (MWG et VSE). Ces fichiers DAT ont été publiés le 14 décembre 2020, pour les systèmes connectés cloud, et dans Global Threat Intelligence (GTI).
Fonctionnalités de détection génériques précédemment fournies par
Extra.DAT, sont inclus dans la
4288 V3 DATs (ENS) et le
9836 V2 DATs (MWG et VSE) publié le 15 décembre 2020.
Le nom de détection des menaces de cette attaque est
HackTool-Leak.c avant Cette
4288 Fichiers DAT v3 (ENS) et
9836 Fichiers DAT v2 (MWG et VSE).
Partir ces fichiers DAT, qui sont le nom de détection des menaces de cette attaque, sont
Trojan-Sunburst.
Au moment de la publication, les clients qui utilisent MVISION Endpoint verront une détection Windows Defender pour
Trojan:MSIL/Solorigate.B!dha.
Pour une meilleure couverture de détection, MVISION Endpoint clients peuvent effectuer une mise à jour vers
MVISION Endpoint 2011 HotFix version, disponible le 16 décembre 2020.
- Clients avec MVISION ePO : Vérifiez que la mise à jour automatique est activée et configurée pour un déploiement immédiat.
- Clients disposant d’ePO en local : archivez MVISION Endpoint 2011 HotFix après l’avoir obtenu à partir du site du centre de logiciels ou du site de téléchargement de produits et déployez-le dans l’environnement.
Pour plus d’informations sur cette version et les autres versions de MVISION Endpoint, consultez l’article
KB90744-plates-formes prises en charge pour MVISION Endpoint.
Pour les clients qui ne peuvent pas mettre à jour les fichiers DAT ou qui n’utilisent pas l’analyse à l’accès/l’analyse à la demande,
Prévention contre les exploits la couverture peut être configurée à l’aide des règles d’expert suivantes. Le contenu de la règle est également disponible dans la
Sunburst_Expert_Rules.zip dans la section pièces jointes de cet article.
Règles d’expert ENS :
Nom de la règle |
Rayons de soleil : bloquer la création du canal nommé |
Gravité |
Elevée |
Exploit |
Bloquer, rapport |
Type de règle |
Fichiers |
Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
REMARQUES : Optionnel |
Ce déclencheur de règle indique que le application SolarWinds a tenté de créer un canal nommé malveillant connu. |
Nom de la règle |
Rayons de soleil : détecter 7zip utilisation anormale |
Gravité |
Elevée |
Exploit |
Bloquer, rapport |
Type de règle |
Méthodes |
Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
REMARQUES : Optionnel |
Ce déclencheur de règle indique que le application SolarWinds a essayé d’abuser 7zip application. |
Nom de la règle |
Rayons de soleil : détection de l’enregistrement de Dllhost. exe en tant que service temporaire |
Gravité |
Elevée |
Exploit |
Bloquer, rapport |
Type de règle |
Registre |
Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
REMARQUES : Optionnel |
Ce déclencheur de règle indique qu’une application a tenté d’enregistrer temporairement Dllhost. exe en tant que service sur l’option d’exécution du fichier image de la ruche du Registre. |
Nom de la règle |
Rayons de soleil : empêcher le chargement des éléments non signés NetSetupSvc.dll |
Gravité |
Elevée |
Exploit |
Bloquer, rapport |
Type de règle |
Fichiers |
Contenu de la règle |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
REMARQUES : Optionnel |
NetSetupSVC. dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft Access, Office, etc. Ce déclencheur de règle indique que SVCHost.exe tentative de chargement d’une session non signée NetSetupSVC.dll ce qui peut indiquer une violation. |
Signature personnalisée Host IPS :
Pour Host IPS 8.0, la couverture n’est pas possible en raison de l’absence de prise en charge de l’utilisation du blocage de création de canal nommé. Toutefois, vous pouvez utiliser une signature personnalisée pour la couverture partielle. Des détections de faux positifs peuvent se produire. il est donc conseillé d’examiner régulièrement tous les événements signature. Selon la règle d’expert ENS ci-dessus, surveillez toutes les activités à l’aide d’une utilisation non signée ou non Microsoft de
NetSetupSvc.dll.
Nom de la signature |
Rayons de soleil : surveillance NetSetupSvc.dll parcours svchost.exe |
Gravité |
Elevée |
Plate-forme |
Windows |
Type de signature |
Host IPS |
Niveau de gravité |
Protection IPS > de la stratégie |
Règles client |
|
Etat du journal |
|
|
|
Description |
NetSetupSVC.dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft Access, Office, etc. Ce déclencheur de règle indique que SVCHost.exe tentative de chargement d’une session non signée NetSetupSVC.dll ce qui peut indiquer une violation. |
|
|
Sous-règles |
|
Syntaxe de la sous-règle |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
|
Veuillez La valeur d’ID définie ci-dessus change (après l’enregistrement de la modification de la stratégie) pour être l’ID de signature suivant disponible dans votre base de données de serveur ePO entre l’ID 4001 et 5999. |
Clients utilisant
McAfee Application and Change Control Il est conseillé de ne pas consolider le logiciel de plate-forme Orion SolarWinds si vous exécutez un build concerné. Si des règles ont été créées pour ajouter SolarWinds en tant qu'
programme, McAfee recommande de les supprimer.
Jeu de signatures de NSP IPS 10.8.16.6 publié le 15 décembre 2020, qui inclut une couverture permettant de détecter et de bloquer le trafic de Backdoor-Burst.
Signature de l’attaque |
ID d’attaque |
MOYENNE-BACKDOOR : activité de soleil détectée |
0x40e10a00 |
Pour plus d’informations, voir
KB93875-REGISTERed : Bulletin de distribution des jeux de signatures de sécurité réseau (10.8.16.6).
REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.