La plongée profonde révèle de profonds problèmes de sécurité

Les SolarWinds Ensoleillement L’attaque est essentiellement un jackpot pour quiconque recherche un exemple parfait d’une exécution élaborée, secrète, éventuellement parrainée par l’État, méticuleusement planifiée et patiente d’une attaque utilisant des techniques auparavant inexistantes. Non seulement les attaquants ont réussi à implanter une porte dérobée avancée sur les systèmes utilisés par les entreprises Fortune 500 et les agences gouvernementales, mais ils l’ont également fait en modifiant les fichiers d’installation pour une mise à jour officielle. La mise à jour «trojanized» a ensuite été téléchargée par plus de 18 000 clients entre mars et juin 2020.

L’attaque SolarWinds Sunburst révèle une surface d’attaque infinie

Alors que le logiciel qui est devenu célèbre pour toutes les mauvaises raisons est un produit de surveillance réseau de SolarWinds appelé Orion, les attaques de la chaîne d’approvisionnement ou les attaques de tiers deviennent un problème très grave. Le logiciel open source est génial, mais il existe définitivement un échange qui ne peut être ignoré. En d’autres termes, vous ne pouvez pas simplement prendre le bien et ne pas travailler le mal. Lors du téléchargement d’un logiciel, d’un service ou d’une application hors ligne, il doit être soigneusement vérifié pour les vulnérabilités avant de l’ajouter à votre application.

Aujourd’hui, presque toutes les organisations dans le monde utilisent du matériel et des logiciels tiers, qui à leur tour consistent en une combinaison de différents produits tiers. Si vous imaginez une arborescence avec chaque appareil ou logiciel se ramifiant dans ses divers composants, usines et cloud, c’est aujourd’hui une attaque commerciale typique. Semblable à l’attaque Sunburst, il n’y a pas longtemps JE DONNE a subi une grave violation de données catastrophique causée par un tiers, tandis que Marriott International en a souffert deux en tant d’années.

Ensoleillement

Donc, si les attaques de la chaîne d’approvisionnement sont devenues monnaie courante, qu’est-ce que Sunburst a de si spécial attaquant SolarWinds? Eh bien, pour les débutants, les premiers signes montrent au moins quatre ans de conception qui incluent non seulement l’achat de domaines Internet abandonnés pour avoir l’air authentique, mais également la signature d’un code de porte malveillant avec les bonnes certifications SolarWinds. Cette porte dérobée (également appelée Sunburst) a ensuite été ajoutée aux fichiers d’installation pour une mise à jour SolarWinds et téléchargée sur le serveur de mise à jour officiel. Alors que les estimations officielles affirment que seuls 18000 clients ont reçu les mises à jour corrompues, ces clients comprendre le bureau du président des États-Unis.

Une fois téléchargée, la porte dérobée défie la logique en entrant dans une période initiale d’inactivité pendant environ deux semaines, ce qui rend beaucoup plus difficile à localiser avant d’aller travailler pour collecter des informations, exécuter des commandes appelées Jobs et communiquer avec des serveurs de commande et de contrôle (C2). ). Les informations collectées comprennent le nom de domaine, les interfaces réseau, les processus ou services actuels, les pilotes installés et les postes de travail incluent tout, du transfert et l’exécution des fichiers au redémarrage et à l’arrêt des systèmes. Après avoir effectivement pris le contrôle de l’environnement contaminé et effectué de nombreuses vérifications, le hayon contacte ses C2 pour obtenir des instructions supplémentaires.

Mode super furtif

SolarWinds Sunburst
Nommer cette bande d’attaque serait désobligeant, car il y a des couches sur des couches de complexité qui sont encore en cours d’exploration. Dans un effort pour résumer les fonctionnalités de Sunburst, il évite essentiellement la détection sans faire tout ce qui rend les logiciels malveillants détectables. Cela n’entraîne pas une augmentation significative de la taille de l’unité shell où il est ajouté, il ne démarre pas immédiatement, il communique très lentement, il n’a pas de mot de passe x86 et il évite les systèmes avec des pilotes, des processus ou des services liés à l’anti -produits malveillants. Pour ce faire, il exécute toutes les informations système dans une liste de blocage contenant des noms de domaine autres que les pilotes, les procédures et les services à éviter.

Un autre auvent intéressant que Sunburst parvient à tirer est de communiquer avec ses C2 à partir de ce qui ressemble à une simple requête DNS, mais est en fait une requête encodée avec des informations sur le système infecté. De plus, le trafic entre la porte dérobée et le C2 imite le protocole de communication API SolarWinds standard, en particulier le protocole Orion Improvement Program (OIP), de sorte que toute communication ressemble à un trafic réseau légitime. Les attaquants ont également pris soin d’authentifier toutes les activités secondaires avec des informations d’identification d’utilisateur valides soupçonnées d’avoir été volées.

À titre d’exemple des niveaux de complexité qui existent ici, les chercheurs ont découvert un autre hayon appelé le Supernova, ainsi qu’un compte-gouttes auparavant invisible à mémoire uniquement appelé le Teardrop, qui sont toujours enquêté. Un autre malware associé à SolarWinds Sunburst, appelé Raindrop, a récemment été détecté.

Ramasser les morceaux

La première chose que vous devez réaliser à propos d’une attaque comme l’incident de SolarWinds Sunburst est que les gentils sont presque susceptibles de s’entasser contre eux. Ils devaient être vigilants et préparés tout le temps contrairement à d’autres gars qui sont libres de planifier méticuleusement une attaque pendant quatre ans et de frapper quand ils le veulent. De plus, bien que nous ayons vu de nombreuses attaques de tiers depuis lors, cela a vraiment éveillé le monde au risque d’attaques de la chaîne d’approvisionnement et a changé de façon permanente les limites de la sécurité informatique mondiale.

Pour les attaquants, il s’agit de trouver le maillon le plus faible de votre chaîne de fournisseurs, et les équipes de sécurité doivent examiner chaque élément matériel et logiciel acheté auprès d’un tiers. Les violations matérielles peuvent être encore plus difficiles à détecter, comme une puce de porte dérobée de la taille d’un grain trouvée sur les cartes mères utilisées par les centres de données du département américain de la Défense, les opérations de drones de la CIA et les réseaux navals des navires de la marine. La puce de la porte dérobée était seulement était situé après qu’un tiers a été embauché pour vérifier la sécurité et a découvert que la puce ne faisait pas partie de la conception originale du panneau.

Détection d’attaque

La bonne nouvelle est que les équipes de sécurité ont également un avantage si elles l’utilisent. Ils ont tout le temps du monde pour étudier le champ de bataille avant le proverbe. Ils ont un accès complet à leurs propres environnements avant toute attaque, ce qui est un avantage assez important. Alors que les attaquants planifient des attaques, les équipes de sécurité doivent étudier activement leurs propres attaques pour savoir où se trouvent les liens les plus faibles avant tout le monde. L’ingénierie du chaos est un excellent moyen de trouver vos propres faiblesses et faiblesses avant tout le monde.

Les équipes de sécurité, confrontées à des failles, doivent constamment tester leurs propres défenses et cartographier activement tous les éléments organisationnels et les points de terminaison exposés sur Internet, y compris tous les produits tiers. Un bon moyen de filtrer les fournisseurs de logiciels qui peuvent ne pas répondre aux exigences consiste à créer un modèle de meilleures pratiques de sécurité qui doivent être suivies par tous les fournisseurs de logiciels pour se qualifier pour l’achat. La sensibilisation à la sécurité basée sur le contexte et l’analyse du comportement des utilisateurs sont également de bons moyens de détecter les logiciels malveillants au comportement atypique, comme nous l’avons vu dans l’attaque Sunburst.

L’attaque SolarWinds Sunburst prouve que le malware est la nouvelle règle

Alors que l’attaque SolarWinds Sunburst a poussé toutes les équipes de sécurité à chercher s’il existe des portes dérobées similaires dans leur environnement, le fait que beaucoup soient probablement encore non détectés dans la nature est une pensée décevante. Les organisations ne peuvent plus faire d’hypothèses de trafic réseau basées sur des protocoles de communication, et toute action doit être déclarée coupable jusqu’à preuve de son innocence, même si elle provient d’une application de confiance. Plus important encore, les entreprises doivent arrêter de croître plus vite que leurs équipes de sécurité et, si nécessaire, ralentir pour assurer la sécurité. Enfin, concentrez-vous sur la sécurité de précaution associée au paysage actuel des menaces.

Image en vedette: Shutterstock


Affichage des messages:
3


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *