La couverture de tous les fichiers binaires connus utilisés dans cette attaque est traitée dans le 4287 V3 DATs (ENS) et le 9835 V2 DATs (MWG et VSE). Ces fichiers DAT ont été publiés le 14 décembre 2020, pour les systèmes connectés cloud, et dans Global Threat Intelligence (GTI).

Fonctionnalités de détection génériques précédemment fournies par Extra.DAT, sont inclus dans la 4288 V3 DATs (ENS) et le 9836 V2 DATs (MWG et VSE) publié le 15 décembre 2020.

Le nom de détection des menaces de cette attaque est HackTool-Leak.c avant Cette 4288 Fichiers DAT v3 (ENS) et 9836 Fichiers DAT v2 (MWG et VSE). Partir ces fichiers DAT, qui sont le nom de détection des menaces de cette attaque, sont Trojan-Sunburst.

Au moment de la publication, les clients qui utilisent MVISION Endpoint verront une détection Windows Defender pour Trojan:MSIL/Solorigate.B!dha.

Pour une meilleure couverture de détection, MVISION Endpoint clients peuvent effectuer une mise à jour vers MVISION Endpoint 2011 HotFix version, disponible le 16 décembre 2020.

• Clients avec MVISION ePO : Vérifiez que la mise à jour automatique est activée et configurée pour un déploiement immédiat.
• Clients disposant d’ePO en local : archivez MVISION Endpoint 2011 HotFix après l’avoir obtenu à partir du site du centre de logiciels ou du site de téléchargement de produits et déployez-le dans l’environnement.

Pour plus d’informations sur cette version et les autres versions de MVISION Endpoint, consultez l’article KB90744-plates-formes prises en charge pour MVISION Endpoint.

Pour les clients qui ne peuvent pas mettre à jour les fichiers DAT ou qui n’utilisent pas l’analyse à l’accès/l’analyse à la demande, Prévention contre les exploits la couverture peut être configurée à l’aide des règles d’expert suivantes. Le contenu de la règle est également disponible dans la Sunburst_Expert_Rules.zip dans la section pièces jointes de cet article.

Règles d’expert ENS :

Nom de la règle	Rayons de soleil : bloquer la création du canal nommé
Gravité	Elevée
Exploit	Bloquer, rapport
Type de règle	Fichiers
Contenu de la règle	Rule { Process { Include OBJECT_NAME { -v "SolarWinds.BusinessLayerHost.exe" -v "SolarWinds.BusinessLayerHostx64.exe" } } Target { Match FILE { Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"} Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection } } }
REMARQUES : Optionnel	Ce déclencheur de règle indique que le application SolarWinds a tenté de créer un canal nommé malveillant connu.

Nom de la règle	Rayons de soleil : détecter 7zip utilisation anormale
Gravité	Elevée
Exploit	Bloquer, rapport
Type de règle	Méthodes
Contenu de la règle	Rule { Process { Include OBJECT_NAME { -v "rundll32.exe" } Include OBJECT_NAME { -v "dllhost.exe" } Include GROUP_SID { -v "S-1-16-12288" } Include GROUP_SID { -v "S-1-16-16384" } } Target { Match PROCESS { Include OBJECT_NAME { -v "7z*" } Include PROCESS_CMD_LINE { -v "*-mx9*" } Include -access "CREATE" } } }
REMARQUES : Optionnel	Ce déclencheur de règle indique que le application SolarWinds a essayé d’abuser 7zip application.

Nom de la règle	Rayons de soleil : détection de l’enregistrement de Dllhost. exe en tant que service temporaire
Gravité	Elevée
Exploit	Bloquer, rapport
Type de règle	Registre
Contenu de la règle	Rule { Process { Include OBJECT_NAME { -v "**" } } Target { Match VALUE { Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" } Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " } Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY" } Match VALUE { Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " } Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " } Include -access "RENAME" } } }
REMARQUES : Optionnel	Ce déclencheur de règle indique qu’une application a tenté d’enregistrer temporairement Dllhost. exe en tant que service sur l’option d’exécution du fichier image de la ruche du Registre.

Nom de la règle	Rayons de soleil : empêcher le chargement des éléments non signés NetSetupSvc.dll
Gravité	Elevée
Exploit	Bloquer, rapport
Type de règle	Fichiers
Contenu de la règle	Rule { Process { Include OBJECT_NAME { -v "**\\svchost.exe" } } Target { Match FILE { Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" } Exclude CERT_NAME { -v "*Microsoft Corporation*" } } } }
REMARQUES : Optionnel	NetSetupSVC. dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft Access, Office, etc. Ce déclencheur de règle indique que SVCHost.exe tentative de chargement d’une session non signée NetSetupSVC.dll ce qui peut indiquer une violation.

Signature personnalisée Host IPS :
Pour Host IPS 8.0, la couverture n’est pas possible en raison de l’absence de prise en charge de l’utilisation du blocage de création de canal nommé. Toutefois, vous pouvez utiliser une signature personnalisée pour la couverture partielle. Des détections de faux positifs peuvent se produire. il est donc conseillé d’examiner régulièrement tous les événements signature. Selon la règle d’expert ENS ci-dessus, surveillez toutes les activités à l’aide d’une utilisation non signée ou non Microsoft de NetSetupSvc.dll.

Nom de la signature	Rayons de soleil : surveillance NetSetupSvc.dll parcours svchost.exe
Gravité	Elevée
Plate-forme	Windows
Type de signature	Host IPS
Niveau de gravité	Protection IPS > de la stratégie
Règles client
Etat du journal
Description	NetSetupSVC.dll est une DLL partagée que Microsoft utilise pour plusieurs applications, telles que Microsoft Access, Office, etc. Ce déclencheur de règle indique que SVCHost.exe tentative de chargement d’une session non signée NetSetupSVC.dll ce qui peut indiquer une violation.
Sous-règles
Syntaxe de la sous-règle	Rule { Class "Files" Id 7000 level 4 files {Include "*\\windows\\syswow64\\netsetupsvc.dll"} application { Include "*\\svchost.exe" } time { Include "*" } user_name { Include "*"} attributes "-v" directives "-d" "-c" "files:execute" }
	Veuillez La valeur d’ID définie ci-dessus change (après l’enregistrement de la modification de la stratégie) pour être l’ID de signature suivant disponible dans votre base de données de serveur ePO entre l’ID 4001 et 5999.

Clients utilisant McAfee Application and Change Control Il est conseillé de ne pas consolider le logiciel de plate-forme Orion SolarWinds si vous exécutez un build concerné. Si des règles ont été créées pour ajouter SolarWinds en tant qu' programme, McAfee recommande de les supprimer.

Jeu de signatures de NSP IPS 10.8.16.6 publié le 15 décembre 2020, qui inclut une couverture permettant de détecter et de bloquer le trafic de Backdoor-Burst.

Signature de l’attaque	ID d’attaque
MOYENNE-BACKDOOR : activité de soleil détectée	0x40e10a00

Pour plus d’informations, voir KB93875-REGISTERed : Bulletin de distribution des jeux de signatures de sécurité réseau (10.8.16.6).

REMARQUE : le contenu référencé est uniquement disponible pour les utilisateurs connectés à ServicePortal. Pour consulter le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.