SolarWinds

Microsoft, FireEye y GoDaddy han colaborado para crear un interruptor de interrupción para la puerta trasera SolarWinds Sunburst que obliga al malware a terminar por sí mismo.

El fin de semana pasado se reveló que los piratas informáticos patrocinados por el estado ruso violaron SolarWinds y agregaron código malicioso a un archivo DLL de Windows utilizado por su plataforma de monitoreo de TI Orion.

Esta DLL maliciosa es una puerta trasera rastreada como Solarigate (Microsoft) o Sunburst (FireEye) y se distribuyó a través del mecanismo de actualización automática de SolarWinds a aproximadamente 18.000 clientes, incluidos el Tesoro de EE. UU., La NTIA de EE. UU. Y el Departamento de Seguridad Nacional de EE. UU.

Como parte de una divulgación coordinada con Microsoft y SolarWinds, FireEye publicó un informe el domingo con un análisis del ataque a la cadena de suministro y cómo funciona la puerta trasera Sunburst. Esta investigación reveló que la puerta trasera Sunburst se conectaría a un servidor de comando y control (C2) en un subdominio de avsvmcloud [.] Com para recibir ‘trabajos’ o comandos para ejecutar.

El informe de FireEye también reveló que si el servidor C2 se resolvía con una dirección IP en uno de los siguientes rangos, el malware terminaría y actualizaría una configuración, por lo que el malware nunca se volvería a ejecutar.

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3
  • fc00 :: – fe00 ::
  • fec0 :: – ffc0 ::
  • ff00 :: – ff00 ::
  • 20.140.0.0/15
  • 96.31.172.0/24
  • 131.228.12.0/22
  • 144.86.226.0/24

Ayer, el dominio del servidor de comando y control, avsvmcloud [.] Com, fue incautado y ahora tiene la dirección IP 20.140.0.1, que pertenece a Microsoft. Esta toma de control del dominio permite a Microsoft y sus socios hundir el tráfico malicioso y analizarlo para identificar más víctimas.

Búsqueda de DNS de C2
Búsqueda de DNS de C2

FireEye y Microsoft crean un interruptor de apagado Sunburst

Hoy, Brian Krebs fue el primero en revelar que FireEye, Microsoft y Godaddy colaboraron para crear un interruptor de interrupción para el malware Sunburst.

En una declaración también enviada a BleepingComputer, FireEye explica que utilizaron la adquisición de avsvmcloud [.] Com para crear un interruptor de interrupción que descarga el malware Sunburst en las máquinas infectadas.

“SUNBURST es el malware que se distribuyó a través del software SolarWinds. Como parte del análisis de FireEye de SUNBURST, identificamos un interruptor de seguridad que evitaría que SUNBURST continúe funcionando”.

“Dependiendo de la dirección IP devuelta cuando el malware resuelve avsvmcloud [.] Com, bajo ciertas condiciones, el malware se terminaría por sí mismo y evitaría una mayor ejecución. FireEye colaboró con GoDaddy y Microsoft para desactivar las infecciones de SUNBURST”.

“Este killswitch afectará las infecciones de SUNBURST nuevas y anteriores al deshabilitar las implementaciones de SUNBURST que todavía están transmitiendo señales a avsvmcloud [.] Com”, dijo FireEye a BleepingComputer en un comunicado.

Si bien FireEye no proporciona detalles específicos sobre el interruptor de interrupción, podemos ver cómo funciona el interruptor de interrupción a partir de su análisis anterior.

Como parte de esta colaboración, GoDaddy ha creado una resolución de DNS comodín para que cualquier subdominio de avsvmcloud [.] Com se resuelva en 20.140.0.1. Esto se ilustra mediante una búsqueda de DNS para un subdominio inventado, como se muestra a continuación.

Resolución de DNS comodín para avsvmcloud [.] Com
Resolución de DNS comodín para avsvmcloud [.] Com

Debido a esta resolución de DNS comodín, cuando una máquina infectada intenta conectarse a su servidor de comando y control bajo el dominio avsvmcloud [.] Com, el subdominio siempre se resolverá en la dirección IP 20.140.0.1. Esta dirección IP es parte del rango 20.140.0.0/15 que está en la lista de bloqueo de malware. Esta lista de bloqueo hace que el malware finalice y evite que se ejecute nuevamente.

Los rangos de direcciones IP de Microsoft probablemente se agregaron a una lista de bloqueo para evitar que sus operaciones de seguridad detecten la actividad maliciosa.

FireEye advirtió que este interruptor de interrupción solo terminaría la infección original de Sunburst. Las organizaciones que ya fueron violadas por los actores de amenazas probablemente tengan diferentes métodos para acceder a la red de la víctima.

“Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos persistentes adicionales para acceder a las redes de víctimas más allá de la puerta trasera de SUNBURST. Este interruptor no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. hacen que sea más difícil para el actor aprovechar las versiones previamente distribuidas de SUNBURST “, advirtió FireEye sobre el interruptor de apagado.

Si no se sabe si las víctimas identificadas a través del sumidero / interruptor de interrupción están siendo notificadas que están comprometidas.

BleepingComputer se ha puesto en contacto con Microsoft con preguntas relacionadas con el interruptor de apagado, pero le dijeron que no tenían nada que compartir en este momento.

Artículos relacionados:

Gobierno de EE. UU., FireEye violado tras ataque de cadena de suministro de SolarWinds

Microsoft pondrá en cuarentena mañana los binarios de SolarWinds comprometidos

Microsoft actualiza las capacidades de detección de ataques por rociado de contraseñas

Microsoft Authenticator lleva el autocompletado de contraseñas a los dispositivos móviles

Windows 10 para obtener un analizador de espacio en disco de línea de comandos integrado