FireEye emitió un informe de análisis sobre el informe SolarWinds Supply Chain Attack. Los productos SolarWInds tienen un ataque de cadena de suministro de un año y se han implantado múltiples puertas traseras en sus productos.
El programa de puerta trasera fue introducido por la aplicación oficial de SolarWInds en marzo de 2020, los usuarios que usan SolarWinds deben instalar la actualización y repararla de inmediato.
SolarWinds Inc. es una empresa estadounidense que proporciona software a empresas para ayudar a administrar sus redes, sistemas e infraestructura de tecnología de la información. Según el perfil de su sitio web oficial, los clientes de SolarWinds incluyen compañías Fortune 500, las diez principales compañías de telecomunicaciones en los Estados Unidos, las fuerzas estadounidenses, el Departamento de Estado de los Estados Unidos, la Agencia de Seguridad Nacional y la Oficina del Presidente de los Estados Unidos.
Según el boletín de seguridad oficial emitido por SolarWinds, las versiones 2019.4 y 2020.2.1 del software de la plataforma SolarWinds Orion lanzadas entre marzo y junio de 2020 se ven afectadas por ataques a la cadena de suministro. Hay aplicaciones de puerta trasera maliciosas en los paquetes de instalación de estas versiones.
Estos paquetes de instalación maliciosos pasaron por alto la verificación con el certificado digital de SolarWinds. Después de instalar la actualización, se publicará un archivo SolarWinds.Orion.Core.BusinessLayer.dll, que la plataforma Orion carga como un complemento adicional a través de SolarWinds.BusinessLayerHostx[64] .exe.
La puerta trasera funcionará de acuerdo con las instrucciones devueltas por C2 después de un período de inactividad de hasta dos semanas. “ Recupera y ejecuta comandos, llamados“ Trabajos ”, que incluyen la capacidad de transferir y ejecutar archivos, perfilar el sistema y deshabilitar los servicios del sistema. El comportamiento de la puerta trasera y el protocolo de red se combinan con la actividad legítima de SolarWinds, por ejemplo, haciéndose pasar por el protocolo del Programa de mejora de Orion (OIP) y almacenando los resultados del reconocimiento dentro de los archivos de configuración del complemento. La puerta trasera utiliza múltiples listas de bloqueo para identificar herramientas forenses y antivirus a través de procesos, servicios y controladores. "
Al mismo tiempo, todas las comunicaciones de red del programa malicioso se disfrazarán como el tráfico de red del protocolo del Programa de mejora de Orion (OIP) y los resultados de las comunicaciones se almacenarán en un archivo de configuración de complemento legal para que pueda integre a la perfección con las propias actividades de SolarWinds y luego logre el propósito de ocultación.
Esta aplicación de puerta trasera también se incluye en el programa de actualización de SolarWinds. Si el administrador del sistema instaló la actualización durante marzo-junio de 2020, se vería afectado por el ataque.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
