Cách Flowmon phát hiện mã độc SUNBURST trong hệ thống của bạn

Abstract Blue Shield Protection

Flowmon Anomaly Detection System đã được cập nhật các IoC (dấu hiệu bị tấn công) của mã độc SUNBURST – mã độc liên quan đến sự cố bảo mật SolarWinds. Những khách hàng đang sở hữu tính năng Flowmon Dectection System sẽ có thể biết được liệu mình có đang bị tấn công hay không và có thể thiết lập các biện pháp để phát hiện mã độc SUNBURST.

Tháng 12 này, cả thế giới bị choáng váng bởi việc nhiều tổ chức chính phủ Mỹ đã bị ảnh hưởng bởi một cuộc tấn công mạng vô cùng tinh vi và phức tạp. Cuộc tấn công được thực hiện thông qua mã độc SUNBURST, mã độc được cài vào bản cập nhật Orion của hãng công nghệ nổi tiếng SolarWinds.

Tấn công SUNBURST diễn ra như thế nào 

SUNBURST tạo ra một Backdoor từ hệ thống nội bộ đến một server độc hại bên ngoài, cho phép những kẻ tấn công điều khiển hệ thống bị nhiễm mã độc. Một khi những kẻ tấn công tạo ra một kênh liên lạc giữa máy bị nhiễm SUNBURST và server do chúng kiểm soát, sẽ rất khó để ngăn chặn việc bị tấn công. 

Cách phát hiện mã độc SUNBURST

Với tư cách là một phần mềm có khả năng Network Detection and Response, Flowmon có thể phát hiện các Zeroday Attack theo hướng signatureless (không dựa trên dấu hiệu).

Nó sử dụng việc phân tích hành vi (Behavioral Analysis) để phát hiện việc bị tấn công mà không cần phải biết trước các thông tin về chúng. Bằng công nghệ Machine Learning, nó có thể phát hiện các lưu lượng mạng bất thường, ví dụ như các tấn công lân cận (lateral Movement) hay tấn công đánh cắp dữ liệu (data Exfiltratrion).

Nếu kể tấn công thành công vượt qua vòng bảo vệ lớp ngoài (perimeter), Flowmon sẽ có thể phát hiện chúng và qua đó giúp bạn có đủ thời gian để ngăn chặn tấn công.

SUNBURST có khả năng phát hiện các Hostname và sau đó dùng chính các Hostname này cho hệ thống Command&Control của nó, với mục đích ngụy trang tấn công, tránh bị phát hiện. Tuy nhiên, SUNBURST sẽ để lộ những Hostname này qua RDP SSL certificates. Flowmon có khả năng trích xuất các thông tin từ SSL Certificates, vì vậy bạn có thể dùng Flowmon Monitoring Center để phân tích các Certificates của các kết nối mạng giữa các Host trong hệ thống của bạn và các Server bên ngoài. Việc này giúp bạn có thể phát hiện ra các Hostname trùng khớp với Hostname nội bộ.

Đối với SUNBURST, kẻ tấn công thường chọn một địa chỉ IP thuộc quốc gia của nạn nhân. Cho dù là địa chỉ IP của quốc gia nào được sử dụng, Flowmon cũng có thể phát hiện được việc thu thập dữ liệu nhờ vào tính năng HIGHTRANSF và việc truyền dữ liệu đánh cắp ra bên ngoài nhờ tính năng UPLOAD.

Các dấu hiệu bị tấn công (IoC)

Ngoài các phương pháp phát hiện cơ bản, Flowmon có các IoC chuyên biệt dành cho mã độc SUNBURST. Sản phẩm Flowmon của bạn sẽ tự động tải về các IoC này (nếu Flowmon của bạn được kết nối với Internet) và bạn có thể dùng chúng để ngăn chặn việc bị nhiễm mã độc SUNBURST cũng như xác minh xem liệu nó có ở trong hệ thống của bạn hay không.

Tấn công SUNBURST sẽ được nhận dạng là một kết nối với một BLACKLIST domain. Các thông tin khác cũng sẽ được đề cập bởi Flowmon (xem hình dưới)

Flowmon

Cần phải làm gì tiếp theo 

Việc phát hiện và loại bỏ mã độc SUNBURST khỏi máy của bạn là chưa đủ. Bạn cần phải xem liệu các hệ thống lân cận có bị lây lan mã độc này hay không và loại bỏ chúng.

Flowmon có thể thực hiện quá trình này bởi nó cho phép bạn điều tra và phân tích các dữ liệu về Network trong quá khứ. Bạn có thể xem các History IoC để xác định các hệ thống lân cận bị lây nhiễm, qua đó loại bỏ SUNBURST hoàn toàn khỏi hệ thống.

Flowmon khuyến nghị bạn nên theo dõi các IoC một cách kỹ lưỡng và cẩn thận bởi SUNBURST có thể chèn các mã độc khác vào hệ thống của bạn.

Tầm quan trọng của Network Detection and Response (NDR)

Không một công ty hay tổ chức nào có thể vui khi hệ thống của họ bị nhiễm SUNBURST. Đến thời điểm hiện tại, người ta vẫn chưa rõ nguồn gốc của mã độc này và mới chỉ đưa ra các giả định.

Việc có thể sử dụng NDR để phát hiện SUNBURST một lần nữa khẳng định tầm quan trọng của công cụ này và vai trò của nó như một thành phần hỗ trợ cho các phương pháp phát hiện dựa trên dấu hiệu truyền thống.

Tham khảo:

https://www.flowmon.com/en/blog/how-flowmon-helps-to-detect-sunburst-trojan-attack

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *