McAfee Gateway produtos bloqueiam todos os indicadores de comprometimento de rede conhecidos (IOC compatível).
A cobertura de todos os binários conhecidos usados nesse ataque é abordada no
4287 V3 DATs (ENS) e o
9835 V2 DATs (MWG e VSE). Estes DATs foram lançados em 14 de dezembro de 2020, para sistemas conectados à nuvem e em Global Threat Intelligence (GTI).
Recursos genéricos de detecção, anteriormente fornecidos pela
Extra.DAT, estão incluídos no
4288 V3 DATs (ENS) e o
9836 V2 DATs (MWG e VSE) lançado em 15 de dezembro de 2020.
O nome da detecção para ameaças neste ataque é
HackTool-Leak.c após o
4288 DATs v3 (ENS) e o
9836 DATs v2 (MWG e VSE).
Antes Esses DATs, o nome da detecção de ameaças nesse ataque é
Trojan-Sunburst.
No momento da publicação, os clientes que usam o MVISION Endpoint verão uma detecção do Windows Defender para
Trojan:MSIL/Solorigate.B!dha.
Para uma maior cobertura de detecção, MVISION Endpoint os clientes podem atualização para o
MVISION Endpoint 2011 Hotfix lançamento, disponibilizado em 16 de dezembro de 2020.
- Os clientes com MVISION ePO: confirmar se a atualização automática está ativada e configurada para distribuição imediata.
- Clientes com ePO local: faça check-in do MVISION Endpoint 2011 Hotfix depois de obtê-lo no centro de software ou no site de downloads de produtos e distribuir o para o ambiente.
Para obter informações adicionais sobre esta versão e outras versões de MVISION Endpoint, consulte
KB90744-plataformas compatíveis com o MVISION Endpoint.
Para clientes que não podem atualização DATs ou que não estejam usando a varredura ao acessar/varredura por solicitação,
Prevenção de exploração a cobertura pode ser configurada com as seguintes regras de especialista. O conteúdo da regra também está disponível no
Sunburst_Expert_Rules.zip na seção anexo deste artigo.
Regras de especialista do ENS:
| Nome da regra |
Explosão solar: bloquear a criação de pipes nomeados |
| Gravidade |
Alta |
| Medidas |
Bloquear, relatar |
| Tipo de regra |
Arquivos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME {
-v "SolarWinds.BusinessLayerHost.exe"
-v "SolarWinds.BusinessLayerHostx64.exe"
}
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**583da945-62af-10e8-4902-a8f205c72b2e"}
Include -access "CONNECT_NAMED_PIPE" ; # Prevents pipe connection
}
}
} |
| Anotações Opcion |
Essa regra é disparada indica que o aplicativo SolarWinds tentou criar um pipe nomeado malicioso conhecido. |
| Nome da regra |
Explosão solar: detectar 7zip uso de anomalias |
| Gravidade |
Alta |
| Medidas |
Bloquear, relatar |
| Tipo de regra |
Processos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "rundll32.exe" }
Include OBJECT_NAME { -v "dllhost.exe" }
Include GROUP_SID { -v "S-1-16-12288" }
Include GROUP_SID { -v "S-1-16-16384" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "7z*" }
Include PROCESS_CMD_LINE { -v "*-mx9*" }
Include -access "CREATE"
}
}
} |
| Anotações Opcion |
Este disparador de regras indica que o aplicativo SolarWinds tentou se proabuso 7zip aplicativos. |
| Nome da regra |
Explosão solar: detectar o registro de Dllhost. exe como um serviço temporário |
| Gravidade |
Alta |
| Medidas |
Bloquear, relatar |
| Tipo de regra |
Registry |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match VALUE {
Include OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\dllhost.exe" }
Include OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "CREATE RENAME REPLACE_KEY RESTORE_KEY"
}
Match VALUE {
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include TARGET_OBJECT_NAME { -v "HKLM\\Software\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ dllhost.exe " }
Include -access "RENAME"
}
}
} |
| Anotações Opcion |
Esse disparador de regras indica que um aplicativo tentou registrar temporariamente o Dllhost. exe como um serviço na opção de execução de arquivo de imagem de hive do registro. |
| Nome da regra |
Explosão solar: impedir o carregamento de não assinados NetSetupSvc.dll |
| Gravidade |
Alta |
| Medidas |
Bloquear, relatar |
| Tipo de regra |
Arquivos |
| Conteúdo da regra |
Rule {
Process {
Include OBJECT_NAME { -v "**\\svchost.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\syswow64\\netsetupsvc.dll" }
Exclude CERT_NAME { -v "*Microsoft Corporation*" }
}
}
} |
| Anotações Opcion |
O NetSetupSVC. dll é uma DLL compartilhada que o Microsoft usa para vários aplicativos, como o Microsoft Access, o Office e muito mais. Este disparador de regras indica que SVCHost.exe tentativa de carregar uma assinatura não assinada NetSetupSVC.dll o que pode indicar uma violação. |
Assinatura personalizada do host IPS:
Para host IPS 8.0, a cobertura não é possível devido a nenhuma compatibilidade com o uso do bloqueio de criação de pipe nomeado. No entanto, você pode usar uma assinatura personalizada para cobertura parcial. Podem ocorrer detecções de falso positivo, portanto, é recomendável analisar regularmente todos os eventos de assinatura. De acordo com a regra ENS expert acima, monitor para qualquer atividade que use uso não assinado ou não Microsoft sem assinatura
NetSetupSvc.dll.
| Nome da assinatura |
Explosão solar: monitoramento de NetSetupSvc.dll no svchost.exe |
| Gravidade |
Alta |
| Várias |
Windows |
| Tipo de assinatura |
Host IPS |
| Nível de gravidade |
Proteção do IPS > de política |
| Regras de cliente |
|
| Status do registro |
|
| |
|
| Descrição |
NetSetupSVC.dll é uma DLL compartilhada que o Microsoft usa para vários aplicativos, como o Microsoft Access, o Office e muito mais. Este disparador de regras indica que SVCHost.exe tentativa de carregar uma assinatura não assinada NetSetupSVC.dll o que pode indicar uma violação. |
| |
|
| Sub-regras |
|
| Sintaxe de sub-regra |
Rule {
Class "Files"
Id 7000
level 4
files {Include "*\\windows\\syswow64\\netsetupsvc.dll"}
application { Include "*\\svchost.exe" }
time { Include "*" }
user_name { Include "*"}
attributes "-v"
directives "-d" "-c" "files:execute"
} |
| |
INDICADO O valor de ID definido acima será alterado (após salvar a alteração de política) como a próxima ID de assinatura disponível disponível no banco de dados do servidor ePO entre a ID 4001 e 5999. |
Clientes que usam
McAfee aplicativo e controle de alterações são aconselhados a se dessolidificar o software da plataforma SolarWinds Orion se estiver executando uma compilação afetada. Se as regras foram criadas para adicionar o SolarWinds como um
atualizador, A McAfee recomenda excluí-los.
Conjunto de assinaturas do NSP IPS 10.8.16.6 lançado em 15 de dezembro de 2020, o que inclui cobertura para detectar e bloquear o tráfego de backdoor da explosão solar.
| Assinatura de ataque |
ID de ataque |
| MÉDIO-BACKDOOR: atividade de explosão solar detectada |
0x40e10a00 |
Para obter detalhes, consulte
KB93875-registrado-registro de lançamento de conjuntos de assinaturas de segurança de rede (10.8.16.6).
NOTA: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
