Detekcja SUNBURST

SUNBURST to zagrożenie, które wykorzystuje oprogramowanie SolarWinds. Zagrożenie uzyskuje dostęp się do infrastruktury poprzez fałszywą aktualizację oprogramowania. Malware skonstruowany został tak dobrze, że pozostawał niewykryty przez długi czas. Bardzo sprytnie maskuje swoją komunikacje, udając prawdziwe połączenia. Wykorzystuje nawet natywne dla kraju adresy IP, celem uniknięcia rozpoznania anomalii.

Co nam grozi? Przede wszystkim ten wyrachowany atak ma na celu przekazanie informacji personalnych, loginach i hasłach użytkowników, danych osobistych, ale również – wgląd w tajemnice organizacji
i własności intelektualne, takie jak technologie i projekty. Finalnie SUNBURST pozwala osobom nieautoryzowanym na przejęcie kontroli nad systemem. Zagrożenie ze strony tej podatności jest bardzo poważne.

W Energy Logserver zebraliśmy dużą ilość informacji o tym zagrożeniu, a na ich bazie przygotowaliśmy zestaw reguł, pozwalających wykryć obecność SUNBURST w naszym środowisku.

Chociaż aktywność SUNBURST jest dobrze zamaskowana, nie jest niewykrywalna. Wbudowany w Energy Logserver system Threat Intelligence, po skonfigurowaniu jest w stanie łatwo zaobserwować ślady tej podatności. Agenci po dodaniu przynajmniej dwóch obiektów monitoringu mogą wysłać kluczowe informacje, które pomogą zidentyfikować zagrożenie.

Obiekty do monitoringu mogą być tak podstawowe, jak podsystem Windows Defendera oraz TaskScheduler. Zarówno Windows Defender jak i TaskScheduler mogą dostrzec próby charakterystyczne dla aktywności SUNBURST.

Ponadto nasza baza Threat Intelligence zawiera ponad 2100 charakterystycznych obiektów, które są identyfikowane z aktywnością SUNBURST lub malware związanych z SolarWinds. Ich typy dotyczą m.in. hashów plików, adresów IP, domen, itd.

Energy Logserver może zostać wzbogacony o paczkę predefiniowanych alertów dotyczących detekcji SUNBURST. Dodatkowo, wykorzystując metody dostępne w Energy Logserver, jesteśmy w stanie dokonać ulepszenia parserów celem precyzyjnej detekcji aktywności malware w środowiskach SolarWinds.