Опубликован способ поиска жертв и целей операторов SUNBURST с помощью Passive DNS
26/01/21
Уже более месяца после кибератаки на цепочку поставок SolarWinds регулярно появляются новые сведения, касающиеся методов работы злоумышленников и последствий взлома для компаний и государственных структур. Напомним, финансируемая правительством неизвестной страны киберпреступная группировка взломала сети SolarWinds и внедрила вредоносное ПО SUNBURST (также известное как Solorigate) в обновления для платформы Orion (в версии от 2019.4 до 2020.2.1, выпущенные в марте-июне 2020 года).
Теперь же появилась информация о том, как расшифровать домены SUNBURST. Вредонос похищает несколько видов информации о зараженной системе, шифрует эту информацию в виде комбинации строк, складывает их вместе и отправляет данные обратно злоумышленникам с помощью DNS-запросов для поддоменов avsvmcloud [. ] com. Несмотря на то, что существует четыре возможных варианта для первого поддомена (eu-west-1/us-west-2/us-east-1/us-east-2), они, похоже, не связаны с какими-либо конкретными географическими данными. Их единственная цель — имитировать такие сервисы, как AmazonAWS, чтобы придать установленным соединениям некоторую форму легитимности.
Поддомены состоят из закодированного GUID, байта, который функционирует как XOR-ключ для GUID, и имени хоста локальной сети зараженной системы или другой дополнительной информации, такой как закодированные метки времени или активные антивирусные продукты.
Бэкдор SUNBURST передает домену avsmcloud [.] com похищенные данные в форме DNS-запросов для определенного поддомена. Существует много способов получить Passive DNS на avsmcloud [.] com и несколько ресурсов на Pastebin со списками Passive DNS. Бэкдор обменивается данными с помощью специальных шаблонов, чтобы отсеивать большую часть шума. GUID и XOR-ключ состоят из 16 символов, а длина бэкдора — 32 символа, поэтому длина третьего поддомена должна составлять от 17 до 32 символов.
Декодирование поддоменов можно осуществить с помощью инструментов от таких компаний, как RedDrip, FireEye или NETRESEC. Идентификатор GUID используется для помощи в соединении отдельных запросов, поскольку этот конкретный идентификатор GUID остается уникальным для зараженной системы независимо от XOR-операции GUID. Таким образом, можно сопоставить закодированные временные метки с именами хостов и наоборот. XOR-ключ также является индикатором для более длинных разделенных доменов, часть которых основана на декодированном значении байта в диапазоне от 0 до 35. Первая часть полезной нагрузки будет иметь байтовое значение 0. Последняя часть полезной нагрузки всегда будет иметь байтовое значение 35. Зараженные системы с короткими доменными именами будут иметь только один запрос с байтовым значением 35.
Для тех, кто ищет дополнительные данные Passive DNS или просто хочет проверить, являются ли они жертвой или целью кибератак, существует таблица с 35 тыс. известных общедоступных поддоменов и переданными ими данными.