SolarWinds Saldırısından Etkilenenler İçin Saldırı Sonrası Tespit Aracı Duyuruldu
CISA, SolarWinds Orion güncellemesinden kaynaklanan şirket içi sistemlerindeki kötü amaçlı etkinlikleri araştıran kuruluşlar için CHIRP adlı yeni bir araç yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA, SolarWinds tedarik zinciri hacklemesinin arkasındaki saldırganların faaliyetlerinin izlerini tespit etmek için şirket içi sistemleri taramak için yeni bir komut satırı aracı yayınladı.
CISA, CISA Avı ve Olay Müdahale Programı anlamına gelen aracı “CHIRP” adı ile yayınladı.
Bunun yanında CISA duyuruda “CHIRP, şirket içi bir ortamda APT izlerinin belirtilerini tarar” açıklamasını yaptı.
CHIRP, bilgisayar korsanlarının Sunburst / Solargate arka kapısını yaklaşık 18.000 SolarWinds müşterisine dağıtmak için kullandıkları ve yaygın olarak kullanılan ağ izleme yazılımı olan SolarWinds Orion yazılımıyla ilgili saldırı izlerini aramak için oluşturuldu. Microsoft tehdit aktörünü Nobelium olarak adlandırırken, FireEye da UNC2452 kodu ile aynı grubu takip ediyor.
Yeni araştırma aracı, CISA’nın Azure ve Microsoft 365 bulut ortamlarındaki güvenliği ihlal edilmiş hesaplar ve uygulamalar üzerindeki saldırgan etkinliklerini tespit etmek için daha önce piyasaya sürülen Sparrow ile benzer yapıda.
CISA, savunma uzmanlarının Windows olay günlüklerini ve Windows Kayıt Defterini incelemek için CHIRP kullanmasının yanı sıra Windows ağ yapılarını sorgulamalarını ve kötü amaçlı yazılımları, arka kapıları veya implantları tespit etmek için “YARA” kurallarını uygulamasını önermekte.
Araç, olay günlüklerinde ve kayıt defteri anahtarlarında arama yapmak için çeşitli eklentilere sahip. Ayrıca ajansın yayınladığı, önceki AA20-352A (Orion için) ve AA21-008A (Microsoft 365 / Azure ortamları) uyarılarındaki etkinliklerle ilişkilendirdiği izlerin (IOC) listesini içeren bir dosya da mevcut.
18.000 kurbanın sadece bir kısmı ikincil kötü yazılımdan etkilendi
Orion’un truva atı haline getirilmiş sürümünden etkilenen 18.000 SolarWinds müşterisinden yalnızca bazıları, Korsanlar tarafından Teardrop adı verilen ikinci bir kötü amaçlı yazılım türünü dağıtmak için seçildi. Ardından, saldırganlar daha sonra Microsoft 365 altyapısını da ihlal etmek için hedeflerini bulut ortamına çevirdi.
CISA, CHIRP’in şu anda şu izleri aradığını söyledi:
- Güvenlik araştırmacıları tarafından TEARDROP ve RAINDROP olarak tanımlanan kötü amaçlı yazılımın varlığı;
- Bu saldırı ile ilişkili olarak tanımlanan belirli kalıcı mekanizmalar;
- Sistem, ağ ve M365 dökümü; ve
- Saldırganların yanal hareketinin bilinen göstergeleri.
Microsoft kısa süre önce, uzaktaki bir C2 sunucusundan bir payload’un indirilmesini ve yürütülmesini desteklemek için virüs bulaşmış bir makinede kalıcılık sağlamak için tasarlanmış bir araç olan Sibot da dahil olmak üzere Sunburst saldırısıyla ilgili üç ek kötü amaçlı yazılım parçasını da ayrıntılı olarak açıkladı.
CHIRP, GitHub’da derlenmiş bir yürütülebilir dosya, ayrıca bir de Python betiği olarak kullanıma sunuldu.
Ocak ayında FireEye da, GitHub’da Azure AD Investigator adlı ücretsiz bir araç yayınladı.
Kaynak: zdnet.com
Diğer Haberler
Windows 10 Test Build (21337) ile Gelen Yenilikler
BAE, “Yağmur Yağdıran” İnsansız Hava Araçlarını Test Edecek
Çip Kıtlığı: Samsung ‘Ciddi Dengesizlik’ Konusunda Uyardı