Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Опубликован способ поиска жертв и целей операторов SUNBURST с помощью Passive DNS

26/01/21

SunburstУже более месяца после кибератаки на цепочку поставок SolarWinds регулярно появляются новые сведения, касающиеся методов работы злоумышленников и последствий взлома для компаний и государственных структур. Напомним, финансируемая правительством неизвестной страны киберпреступная группировка взломала сети SolarWinds и внедрила вредоносное ПО SUNBURST (также известное как Solorigate) в обновления для платформы Orion (в версии от 2019.4 до 2020.2.1, выпущенные в марте-июне 2020 года).

Теперь же появилась информация о том, как расшифровать домены SUNBURST. Вредонос похищает несколько видов информации о зараженной системе, шифрует эту информацию в виде комбинации строк, складывает их вместе и отправляет данные обратно злоумышленникам с помощью DNS-запросов для поддоменов avsvmcloud [. ] com. Несмотря на то, что существует четыре возможных варианта для первого поддомена (eu-west-1/us-west-2/us-east-1/us-east-2), они, похоже, не связаны с какими-либо конкретными географическими данными. Их единственная цель — имитировать такие сервисы, как AmazonAWS, чтобы придать установленным соединениям некоторую форму легитимности.

Поддомены состоят из закодированного GUID, байта, который функционирует как XOR-ключ для GUID, и имени хоста локальной сети зараженной системы или другой дополнительной информации, такой как закодированные метки времени или активные антивирусные продукты.

Бэкдор SUNBURST передает домену avsmcloud [.] com похищенные данные в форме DNS-запросов для определенного поддомена. Существует много способов получить Passive DNS на avsmcloud [.] com и несколько ресурсов на Pastebin со списками Passive DNS. Бэкдор обменивается данными с помощью специальных шаблонов, чтобы отсеивать большую часть шума. GUID и XOR-ключ состоят из 16 символов, а длина бэкдора — 32 символа, поэтому длина третьего поддомена должна составлять от 17 до 32 символов.

Декодирование поддоменов можно осуществить с помощью инструментов от таких компаний, как RedDrip, FireEye или NETRESEC. Идентификатор GUID используется для помощи в соединении отдельных запросов, поскольку этот конкретный идентификатор GUID остается уникальным для зараженной системы независимо от XOR-операции GUID. Таким образом, можно сопоставить закодированные временные метки с именами хостов и наоборот. XOR-ключ также является индикатором для более длинных разделенных доменов, часть которых основана на декодированном значении байта в диапазоне от 0 до 35. Первая часть полезной нагрузки будет иметь байтовое значение 0. Последняя часть полезной нагрузки всегда будет иметь байтовое значение 35. Зараженные системы с короткими доменными именами будут иметь только один запрос с байтовым значением 35.

Для тех, кто ищет дополнительные данные Passive DNS или просто хочет проверить, являются ли они жертвой или целью кибератак, существует таблица с 35 тыс. известных общедоступных поддоменов и переданными ими данными.

Темы:КибербезопасностьОтрасльSolarWindsSUNBURST
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...