• La tecnología de prevención de malware de Elastic Security, utilizada tanto por Elastic Endgame como por las capacidades de seguridad de endpoint dentro de Elastic Security, se ha actualizado y no se ve afectada por los ataques descritos en esta divulgación.
• Las reglas de Elastic Security existentes (enumeradas a continuación) pueden ayudar a identificar posibles ataques
• Las nuevas reglas de Elastic Security (enumeradas a continuación) pueden ayudar a detectar nuevas amenazas
• Las búsquedas recomendadas / búsquedas de amenazas se enumeran a continuación para Elastic Security (las recomendaciones de Elastic Endgame se pueden encontrar en nuestro portal de soporte )
• Los usuarios están invitados a trabajar directamente con nuestros ingenieros de protección en nuestro repositorio de reglas públicas

Antecedentes

El 13 de diciembre, SolarWinds publicó un aviso de seguridad  sobre un ataque exitoso a la cadena de suministro en la plataforma de gestión de Orion. El ataque afecta a las versiones Orion 2019.4 HF 5 a 2020.2.1, productos de software lanzados entre marzo y junio de 2020. Asimismo, el 13 de diciembre, FireEye publicó información sobre una campaña global que involucraba el compromiso de la cadena de suministro de SolarWinds que afectó a algunas versiones del software Orion.

Muchos detalles de la intrusión no se han hecho públicos y este contenido puede actualizarse posteriormente a medida que se conozca información adicional. Elastic proporciona esta información para los usuarios en el nivel gratuito y recomienda que los clientes con suscripción consulten el portal de soporte para obtener información adicional sobre las funciones con licencia.

Protección de malware

Hemos actualizado nuestra protección MalwareScore, utilizada tanto por Elastic Endgame como por Elastic Security. Esta actualización incluye entradas de lista de bloqueo para hashes de archivos defectuosos conocidos, lo que proporciona una capacidad de prevención esencial para mitigar el software cliente SolarWinds implementado que contiene código malicioso. Los usuarios deberían recibir esta actualización automáticamente.

Detecciones de comportamiento abiertas y gratuitas

Hemos revisado los materiales públicos divulgados por SolarWinds y FireEye para asegurarnos de tener un conocimiento lo más actualizado posible de las tácticas, técnicas y procedimientos (TTP). Además, Elastic revisó el contenido publicado por Volexity que  describe las actividades posteriores a la explotación observadas durante los contratos de servicios profesionales. Si bien la información sobre cómo el adversario responsable ha aprovechado este compromiso de la cadena de suministro es limitada, los materiales publicados por FireEye y Volexity indican intentos de obtener un control operativo duradero al apuntar a los servicios de directorio y otras formas de autenticación con un énfasis particular en el acceso a la información.

Las siguientes detecciones de comportamiento existentes para la solución Elastic Security pueden identificar evidencia de una posexplotación exitosa:

• Usuario agregado como propietario de Azure Service Principal
• Autenticación multifactor deshabilitada para un usuario de Azure
• Intentos de fuerza bruta en una cuenta de usuario de Microsoft 365
• Posible propagación de contraseñas de cuentas de usuario de Microsoft 365
• Posible ataque de concesión de consentimiento a través de una aplicación registrada en Azure
• Azure Key Vault modificado
• Terminación del proceso seguida de eliminación
• Borrar registros de eventos de Windows

Además, se están lanzando nuevas reglas de comportamiento para las siguientes actividades:

• Exportación de Exchange MailBox a través de PowerShell
• Servicios de desactivación de procesos de SolarWinds a través del registro
• Ejecución de comandos a través del proceso SolarWinds
• Proceso secundario sospechoso de SolarWinds
• Inicio de sesión en Azure Active Directory PowerShell
• Adición principal de servicio de Azure
• Actividad de comando y control SUNBURST detectada
• Modificación de la credencial de la aplicación de Azure
• Actividad de tareas programadas salientes a través de PowerShell

Los usuarios de Elastic Security pueden encontrar valor en habilitar reglas de detección adicionales en todas las categorías, priorizando el triaje y el análisis de los resultados relacionados con el software cliente SolarWinds. 

Más información: Blog Elastic