2021-1-7 最新の通信先情報を追加しました。
2020年12月13日に米国のセキュリティベンダーFireEye社は、SolarWinds社の商用アプリケーションを利用した極めて高度なサイバー攻撃が発見されたと発表しました。 この攻撃は極めて巧妙で2019年12月から始まり、長期間に渡って社内情報やクラウドの電子メール、ストレージから情報を窃取していたことが判明しています。
同様の攻撃が日本国内でも発生しうる可能性が高いと判断し、緊急注意喚起を行います。
攻撃の手順
攻撃者はSolarWinds社の開発環境に侵入しました。
続いて、密かに同社のIT資産監視・管理ソフトであるOrion Platformのプログラムの一部を改ざんし、外部の悪意のあるサーバーとの通信を行うSunburstと呼ばれるプログラム(バックドア)を取り付けました。
SolarWinds社はバックドアの取り付けに気が付かず、正規のアップデートパッケージとして電子署名を行い同社の顧客に配布しました。
顧客がアップデートをインストールすると、SunbrustはOrion Platformの通信を偽装して、外部の悪意あるサーバーからさまざまなマルウェアをダウンロードしました。
キーストロークを窃取し、ネットワーク内で水平展開を試み、特権昇格を行います。
また、組織内の認証情報を利用してクラウドサービスの認証連携を行うシングルサインオンのシステムも攻撃されており、クラウド上の電子メール、ストレージの情報も窃取していることが確認されています。
これにより、同社の顧客である米国政府、企業に幅広い情報漏洩が発生しています。
攻撃の悪質性
この攻撃は1年以上発覚しておらず長期間に渡って悪意のある情報窃取を続けています。
また、SolarWinds社の製品を使用していない企業でも、SolarWinds攻撃と同じ戦術、技術、手順で感染した組織があることも明らかになっています。 これは、攻撃者が他の製品に対して同様のサプライチェーン攻撃を利用している可能性があることを示しています。
アクションすべき事項
この攻撃は対岸の火事ではなく、すでに日本国内でも同様の手法が使われている可能性があり、 場合によっては自社の開発環境が汚染されている可能性があります。
- 経営者はこの攻撃が世界中で発生している可能性を認識し、社内とサプライチェーンに対して、セキュリティの強化を呼びかけて下さい。
- 開発責任者とセキュリティ担当者、システム管理者の方は、至急、以下の項目をチェックして下さい。
- C&Cサーバーである avsvmcloud[.]com との通信の調査、一意のDGASunBurstサブドメインのリスト
- IPアドレス: 20.140.0[.]1 (2020/12/25現在)
- US-CERTが取りまとめた最新の通信先(2021/1/6現在)
- 不正なアカウントが作成されていないかの調査(海外のIPからのアクセス等)
- 多数のログオン失敗がないかの調査(RDP、クラウドを含む)
Windowsの場合、セキュリティログ Event ID 4625の多数の存在)
- SolarWinds社の製品を導入している場合は、次のリンクから、掲載されているプログラムの存在をチェックする
https://gist.github.com/KyleHanslovan/0c8a491104cc55d6e4bd9bff7214a99e
万一、通信が確認された場合は、以下の措置を講じ、至急、CSAJ宛てにご連絡ください。Software ISACが防除に協力します。
- avsvmcloud[.]comと通信しているシステムからネットワーク接続(イーサネットケーブルやWi-Fiなど)をすべて外します。
- ネットワークデバイス(ファイアウォールやスイッチなど)を介してavsvmcloud[.]comとの間の通信を遮断します。フォレンジック調査のため、電源は遮断しないでください。
- Note PCの場合、パーソナルファイアーウォールで20.140.0[.]1との通信を遮断します。
- 企業全体のすべての資格情報をリセットします。
管理者を含むすべてのユーザー、すべてのSSH鍵、すべての電子証明書、クラウド管理者の資格情報、SPN (Service Pricipal Name)など - ソースコードに攻撃がないか、すべての情報資産の調査を行います。
- 攻撃は長期間に渡っていることから、過去のバックアップや仮想スナップショットも侵害されていることを想定して下さい。
US-CERTが取りまとめた最新の通信先
| IPv4・ドメイン |
|---|
| 13.59.205 [.] 66 |
| deftsecurity [.] com |
| 54.193.127 [.] 66 |
| avsvmcloud [.] com |
| 3.87.182 [.] 149 |
| 3.16.81 [.] 254 |
| 54.215.192 [.] 52 |
| 8.18.144 [.] 11 |
| 8.18.144 [.] 12 |
| 8.18.144 [.] 9 |
| 8.18.144 [.] 20 |
| 8.18.144 [.] 40 |
| 8.18.144 [.] 44 |
| 8.18.144 [.] 62 |
| 8.18.144 [.] 130 |
| 8.18.144 [.] 135 |
| 8.18.144 [.] 136 |
| 8.18.144 [.] 149 |
| 8.18.144 [.] 156 |
| 8.18.144 [.] 158 |
| 8.18.144 [.] 165 |
| 8.18.144 [.] 170 |
| 8.18.144 [.] 180 |
| 8.18.144 [.] 188 |
| 8.18.145 [.] 3 |
| 8.18.145 [.] 21 |
| 8.18.145 [.] 33 |
| 8.18.145 [.] 36 |
| 8.18.145 [.] 131 |
| 8.18.145 [.] 134 |
| 8.18.145 [.] 136 |
| 8.18.145 [.] 139 |
| 8.18.145 [.] 150 |
| 8.18.145 [.] 157 |
| 8.18.145 [.] 181 |
| 13.57.184 [.] 217 |
| 18.217.225 [.] 111 |
| 18.220.219 [.] 143 |
| 20.141.48 [.] 154 |
| 34.219.234 [.] 134 |
| 184.72.1 [.] 3 |
| 184.72.21 [.] 54 |
| 184.72.48 [.] 22 |
| 184.72.101 [.] 22 |
| 184.72.113 [.] 55 |
| 184.72.145 [.] 34 |
| 184.72.209 [.] 33 |
| 184.72.212 [.] 52 |
| 184.72.224 [.] 3 |
| 184.72.229 [.] 1 |
| 184.72.240 [.] 3 |
| 184.72.245 [.] 1 |
| 196.203.11 [.] 89 |
| digitalcollege [.] org |
| freescanonline [.] com |
| globalnetworkissues [.] com |
| kubecloud [.] com |
| lcomputers [.] com |
| seobundlekit [.] com |
| solartrackingsystem[.]net |
| thedoccloud [.] com |
| virtualwebdata [.] com |
| webcodez [.] com |
| ervsystem [.] com |
| infinitysoftware [.] com |
| mobilnweb [.] com |
| 107.152.35 [.] 77 |
| 13.59.205 [.] 66 |
| 173.237.190 [.] 2 |
| 198.12.75 [.] 112 |
| 20.141.48 [.] 154 |
参考リンク
SolarWindsハッキング事件について現在までわかっていること FireEye初期分析
Yaraルール、Snortルール、ハッシュ、その他のIOCを含むFireEye GitHub
VOLEXITYの分析
IOCによるサプライチェーンの侵害に関するCiscoTalosの分析
SunBurstのマカフィー分析
SolarWindsセキュリティアドバイザリ
トレンドデータを使用したCloudFlareの分析
サンバーストバックドアのPrevasio分析
Huntress Security SunBurst DLLの場所(リスト)
サンバーストハッシュ(SHA256, SHA1)のリスト
SunBurstDGAサブドメインのリスト
一意のDGASunBurstサブドメインのリスト
TrustedSecの概要と推奨事項
SunburstのTrustedSecインシデント対応ハンドブック
2021-1-7 追加
SolarWindsアドバイザリーアンカー2
カーネギーメロン大学のSolarWindsの脆弱性に関する研究
CVE-2020-10148
パロアルトソーラーストームサプライチェーン攻撃のタイムライン
SolarStorm パロアルト
CIS MS-ISACアドバイザリ2020-166、「SolarWinds Orionの複数の脆弱性により、任意のコードが実行される可能性がある」
CISAアラート(AA20-352A)、「政府機関、重要なインフラストラクチャ、および民間組織の高度な持続的脅威の侵害」
FireEye Threat Research、「非常に回避的な攻撃者がSolarWindsサプライチェーンを活用して、SUNBURSTバックドアで複数のグローバルな犠牲者を危険にさらす」
マイクロソフトセキュリティレスポンスセンター、「最近の国民国家へのサイバー攻撃に関するカスタマーガイダンス」
Orionプラットフォームの安全な構成のためのSolarWindsドキュメント
Yaraルール、Snortルール、ハッシュ、その他のIOCを含むFireEye GitHub