Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило новый инструмент для обнаружения вредоносной активности после взлома, связанной с хакерами SolarWinds в локальных корпоративных средах.
CISA Hunt and Incident Response Program (CHIRP), новый инструмент сбора данных для криминалистической экспертизы, представляет собой инструмент на основе Python, который помогает обнаруживать IOC вредоносной активности SolarWinds в операционных системах Windows.
«Подобно Sparrow - который сканирует признаки взлома APT в среде M365 или Azure - CHIRP сканирует признаки взлома APT в локальной среде», - пояснил CISA.
«В этом выпуске CHIRP по умолчанию выполняет поиск IOC, связанных с вредоносной деятельностью, описанной в AA20-352A и AA21-008A , которая распространилась на локальную корпоративную среду».
Два предупреждения относятся к компрометации хакерами SolarWinds государственных учреждений, критической инфраструктуры и организаций частного сектора с использованием троянизированных продуктов SolarWinds Orion и скомпрометированных приложений среды Microsoft 365 (M365) / Azure жертв в качестве начальных векторов доступа.
Как работает CHIRP
При сканировании CHIRP выводит данные в формате JSON для дальнейшего анализа в SIEM или аналогичных инструментах. CISA рекомендует организациям использовать CHIRP для анализа своей среды, когда они хотят:- Изучите журналы событий Windows на предмет артефактов, связанных с этим действием;
- Изучите реестр Windows на предмет вторжения;
- Запрашивать сетевые артефакты Windows; и
- Применяйте правила YARA для обнаружения вредоносных программ, бэкдоров или имплантатов.
- Наличие вредоносного ПО, идентифицированного исследователями безопасности как TEARDROP и RAINDROP;
- Сертификат сброса учетных данных тянет;
- Определенные механизмы устойчивости, идентифицированные как связанные с этой кампанией;
- Перечисление системы, сети и M365; и
- Известны наблюдаемые индикаторы бокового движения.
Ранее выпущенные средства обнаружения вредоносной активности
CISA ранее выпустила инструмент Sparrow на основе PowerShell, который помогает обнаруживать потенциально скомпрометированные приложения и учетные записи в средах Azure / Microsoft 365.Фирма по кибербезопасности CrowdStrike выпустила аналогичный инструмент обнаружения под названием CrowdStrike Reporting Tool для Azure (CRT), предназначенный для помощи администраторам в анализе сред Azure.
FireEye также опубликовала бесплатный инструмент под названием Azure AD Investigator, который помогает организациям обнаруживать артефакты, указывающие на злонамеренную активность поддерживаемого государством субъекта угрозы, стоящего за атакой цепочки поставок SolarWinds .
Инструменты были опубликованы после того, как Microsoft раскрыла, как украденные учетные данные и токены доступа активно использовались злоумышленниками для нацеливания на клиентов Azure .
Хакеры SolarWinds обозначаются как UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity) и Nobelium (Microsoft).
Хотя их личность остается неизвестной, в совместном заявлении ФБР, CISA, ODNI и NSA говорится, что группа APT, стоящая за атакой SolarWinds, вероятно, является хакерской группой, поддерживаемой Россией .
Перевод - Google
Bleeping Computer