Manual de estrategias de respuesta a incidentes contra el ataque a SolarWinds Orion

Para los equipos de seguridad que tienen SolarWinds en su entorno y buscan iniciar una respuesta a incidentes, ofrecemos el siguiente manual de estrategias, basado en nuestro conocimiento inicial de la amenaza, para ayudarlos a investigar cualquier posible ataque. Es posible que la información presentada no esté completa o no elimine todas las amenazas, pero esperamos que sea eficaz. A medida que haya más información disponible sobre la amenaza, los pasos recomendados pueden cambiar o actualizarse.

Ejemplo de modelo de amenaza

Es posible que este proceso de respuesta deba personalizarse para cada entorno y se basa en las siguientes suposiciones:

1. Posibilidad de establecer cuándo se introdujo el componente vulnerable en el entorno y logs para ese período.
2. Suponer que el adversario tuvo acceso a todas las cuentas y credenciales utilizadas por el servidor SolarWinds Orion y la capacidad de asumir la identidad de cualquier cuenta administrativa o relacionada.
3. Suponer que el adversario tiene la capacidad y el acceso a la red para mantener un canal C2 al servidor SolarWinds Orion.
4. Capacidad para determinar que ninguna cuenta utilizada por SolarWinds, ni cuentas utilizadas para acceder al servidor SolarWinds Orion tenían derechos administrativos completos de dominio.
5. Capacidad para determinar que no se produjo ninguna actividad maliciosa activa relacionada con el componente vulnerable en función de las IOC y las detecciones disponibles actualmente.

Si encuentras evidencia de actividad maliciosa o si no puedes llegar a algunas de las conclusiones básicas que se describen aquí, Sophos recomienda iniciar todos los procedimientos de respuesta a incidentes o buscar ayuda externa.

Detección y análisis

Búsqueda de instancias de SolarWinds afectadas

Consultas de endpoint

Sophos EDR/Osquery: consultas de detección

Sophos Intercept X:

Sophos Application Control detecta todas las versiones de SolarWinds Orion como “SolarWinds MSP Agent”. Application Control es una configuración opcional, consulta la Guía de ayuda para obtener instrucciones sobre cómo habilitarlo y agrega SolarWinds a la lista de aplicaciones que deseas bloquear.

Detecciones de labs: lista de detecciones y IOC

Manual (ejemplo):

PS C:\Windows\system32> Get-FileHash C:\Orion\Solarwinds.Orion.Core.Businesslayer.dll | Format-List

Algoritmo: SHA256

Hash: CE77D116A074DAB7A22A0FD4F2C1AB475F16EEC42E1DED3C0B0AA8211FE858D6

Ruta: C:\Orion\Solarwinds.Orion.Core.Businesslayer.dll

Consultas de red

SolarWinds se puede detectar a través de la supervisión de la red mediante la búsqueda de llamadas realizadas por el servicio de actualización. Las siguientes búsquedas de Zeek IDS también pueden ayudar: Búsquedas SIEM.

Nota: Es posible que solo veas la conexión saliente desde su instancia principal de SolarWinds, no las sondas.

Identificar componentes de SolarWinds maliciosos

Indicadores de endpoint

Advertencia: comprueba la configuración para ver si hay exclusiones.

Consulta: https://twitter.com/ffforward/status/1338785034375999491

Sophos Intercept X / Central Endpoint Protection:

SophosLabs contiene tanto detecciones para el componente malicioso como la firma adicional que indica explotación activa. Sophos también ha bloqueado todos los indicadores de dominio e IP asociados para sus clientes. Consulte GitHub para conocer los nombres de detección.

Sophos EDR/OSquery: consultas de detección

Indicadores de red

Sophos también ha bloqueado todos los indicadores de dominio e IP asociados para sus clientes XG y SG. Si tiene telemetría de red adicional, las siguientes búsquedas también pueden ser útiles: Búsquedas SIEM

Nota: Los ataques se comunican con C2 a través de TLS, por lo que es poco probable que se detecte un hash de archivo a menos que intercepte TLS.

Prepárate para el análisis forense

Si es posible, toma una instantánea de todos los hosts afectados con versiones afectadas de Orion instaladas.

Asegúrate de que los procesos de creación de instantáneas también capturen la memoria.

• VMware: https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.html.hostclient.doc/GUID-A0D8E8E7-629B-466D-A50C-38705ACA7613.html
• Hyper-V: https://support.citrix.com/article/CTX126393

También se puede realizar un análisis forense superficial utilizando la función “Instantánea forense” de Sophos EDR.

Alcance de cuentas potencialmente comprometidas

Las cuentas potencialmente afectadas son:

1. Todas las cuentas que SolarWinds utilizó para el monitoreo de la red, esto incluye cuentas locales de Windows, cuentas de dominio, SNMP, SSH, etc.
2. Todas las demás cuentas utilizadas en los SolarWinds Orion Server afectados. Estos incluyen todos los inicios de sesión administrativos (por ejemplo, EventCode 4624) al servidor y cualquier cuenta local o de servicio (por ejemplo, cuentas de base de datos SQL local).

La siguiente tabla se puede utilizar para documentar todas las cuentas potencialmente afectadas:

Nombre de usuario	Descripción	Protocolo	Dominio	Administrado de dominio	Server admin/root	Alcance	Notas
(Nombre de usuario completo/UPN)	Breve descripción general de lo que utiliza	Windows/KRB/NTLM | SNMP | SSH etc		(s/n)	(s/n)	A qué hosts se aplica esto

Identificar rutas de ataque de alto valor para cuentas potencialmente comprometidas

Para todas las cuentas potencialmente comprometidas enumeradas anteriormente, identifica otros sistemas de alto valor (por ejemplo, controladores de dominio, Active Directory Federation Services y servidores de Azure Active Directory Connect) a los que tuvieron acceso.

• Evalúa los registros de autenticación del sistema local para detectar actividad anómala de las cuentas comprometidas.
• Bloodhound también se puede utilizar para mapear el acceso de cualquier cuenta potencialmente afectada.

Si los servidores o las cuentas involucradas en la autenticación federada (por ejemplo, servidores ADFS) se vieron potencialmente afectados, consulta la guía para el cliente de Microsoft y desarrolla una estrategia de contención adicional adecuada.

Contención y erradicación

Advertencia: estos pasos asumen el deseo de preservar el entorno para una mayor investigación forense y pueden tener un impacto en los entornos de producción.

1. Aísla todas las instancias de SolarWinds Orion de la red:
2. El aislamiento instantáneo se puede realizar a nivel de host utilizando controles como Sophos EDR a través de Sophos Central.
3. El aislamiento basado en host debe estar respaldado por aislamiento basado en red. Los sistemas deben migrarse a una VLAN aislada no enrutable con acceso únicamente a la consola (la migración a una VLAN ayuda a preservar el estado de la red para análisis forenses futuros).
4. Restablece las credenciales o deshabilítalas y vuelva a crear todas las cuentas potencialmente afectadas:
5. Importante: asegúrate de que no se utilicen cuentas nuevas o restablecidas para acceder a la infraestructura comprometida.
6. Reconstruye servidores de monitoreo nuevos a partir de fuentes conocidas que estén listas para el lanzamiento de la versión 2020.2.1 HF 2 de la plataforma Orion, cuyo lanzamiento está previsto para el martes 15 de diciembre de 2020.
7. Considera tomar instantáneas forenses y reconstruir hosts expuestos adicionales, que incluyen:
8. Cualquier host que ejecute el agente SolarWinds.
9. Cualquier host para el que las cuentas potencialmente comprometidas tuvieran derechos de acceso.

Sophos sigue comprometido en mantener a nuestros clientes y partners informados y protegidos y dado que las noticias sobre SolarWinds están copando titulares, es importante entender lo que esto significa para su organización. Le invitamos a unirse este viernes 18 de Diciembre a las 10:30 a nuestro webinar en directo realizado por Alberto R Rodas y conozca más acerca de SolarWinds. Regístrese aquí