SlideShare a Scribd company logo

El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

J
Javier Junquera

El día 8 de diciembre la compañía de ciberseguridad FireEye comunica haber sufrido un incidente en el que se han visto expuestas sus herramientas de RedTeam. Sólo unos días más tarde, tras investigarlo, detectan que el origen de este incidente se encuentra en Orion, el software (propiedad de la compañía SolarWinds) que utilizan para monitorizar sus sistemas. El software que utilizan para monitorizar sus sistemas más de 30.000 compañías entre las que se encuentran desde grandes tecnológicas hasta agencias de seguridad estadounidenses. A lo largo de la sesión se analizaran las causas, los detalles técnicos y las consecuencias de uno de los incidentes de ciberseguridad con mayor impacto de la historia: el Solorigate.

Technology
1 of 20
Download to read offline
Solorigate | javier@junquera.io (UNIR 2021) | 1 Solorigate De SUNBURST a Supernova
Solorigate | javier@junquera.io (UNIR 2021) | 2 https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
Solorigate | javier@junquera.io (UNIR 2021) | 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Solorigate | javier@junquera.io (UNIR 2021) | 4 Introducción SolarWinds es una empresa dedicada a la creación de software para la administración de activos TIC: ● Orion es un producto de inventariado y gestión de sistemas en red ● En diciembre de 2020 se detecta un incidente de seguridad en Orion: ○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
Solorigate | javier@junquera.io (UNIR 2021) | 5 Solorigate ENE 2021 Aparece una nueva amenaza conocida como Supernova 13 DIC 2020 FireEye atribuye a backdoor en el software Orion: SUNBURST 8 DIC 2020 FireEye detecta acceso a sus herramientas de Red Team
Solorigate | javier@junquera.io (UNIR 2021) | 6 ¿Qué es la supply chain? Sunspot Penetración en SolarWinds, en septiembre de 2019 SEP 19 - FEB 20 Atacantes analizan funcionamiento de Orion: forma de trabajar, protocolos de comunicación, formato del código, etc. SUNBURST Creación e instalación de puerta trasera en Orion (SolarWinds.Orion.Core .BusinessLayer.dll) TEARDROP Actuación del código malicioso en las organizaciones. MAR 20 → MAR 20 (+1) Actualización automática de software de clientes. Infección con software firmado.
Solorigate | javier@junquera.io (UNIR 2021) | 7 SUNBURST Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con certificados legítimos de SolarWinds) se dispara el proceso de análisis: ● Permanece dormido (hasta 2 semanas) ● Verifica que está en una organización (AD) ○ Y que esta no es SolarWinds ● Duerme X tiempo ● Comienza a comunicarse con su C2 ○ Lo “busca” generando subdominios pseudo-aleatorios ○ Imita el protocolo de Orion ● Si es un entorno convincente, inicia la fase 2
Solorigate | javier@junquera.io (UNIR 2021) | 8 TEARDROP Una vez desplegado SUNBURST, si el equipo infectado forma parte de los objetivos del malware, entra en juego TEARDROP: ● TEARDROP es un dropper que inyecta en memoria una beacon de Cobalt Strike, para permitir el control remoto de la máquina ● Symantec detecta una variante conocida como Raindrop Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
Solorigate | javier@junquera.io (UNIR 2021) | 9 Impacto A finales de diciembre de 2020 SolarWinds retira la página de clientes, pero se puede recuperar a través de cachés como Internet Wayback Machine. SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020. https://www.solarwinds.com/company/customers
Solorigate | javier@junquera.io (UNIR 2021) | 10 > 18.000 compañías afectadas por SUNBURST (Tarasco & Merino, 2021)
Solorigate | javier@junquera.io (UNIR 2021) | 11 Impacto Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1 . Algunos de sus principales clientes: ● Organismos públicos Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU., NASA, NSA ● Organizaciones privadas Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc. 1 (Recorded Future, 2021)
Solorigate | javier@junquera.io (UNIR 2021) | 12 Impacto Todavía quedan incógnitas acerca del impacto: ● Clientes internacionales Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter. https://twitter.com/edelahozuah/status/1338880212914855939
Solorigate | javier@junquera.io (UNIR 2021) | 13 Impacto Todavía quedan incógnitas acerca del impacto: ● Daños colaterales Organización X Cliente de SolarWinds Organización Y Cliente de organización X (e ignora que existe SolarWinds) SolarWinds Supply chain comprometida
Solorigate | javier@junquera.io (UNIR 2021) | 14 Reacciones FireEye ● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como relacionados con sus herramientas de Red Team (robadas) SolarWinds ● Revoca certificados antiguos de software, e inicia una nueva estrategia de seguridad NIST ● Desarrollo de guía de buenas prácticas en gestión de supply chain
Solorigate | javier@junquera.io (UNIR 2021) | 15 Atribuciones vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401 Se pasa a conocer como DarkHalo al grupo criminal detrás de SUNBURST. EE.UU. atribuye SUNBURST a Rusia: ● Puede que la puerta trasera se introdujese en un desarrollo en Europa del este ● DarkHalo podría estar relacionado con Turla (Rusia) o APT41 (China)
Solorigate | javier@junquera.io (UNIR 2021) | 16 Pero esto no termina aquí… Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de SolarWinds: ● COSMICGALE Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta scripts de infección escritos en PowerShell ● Supernova Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización de logo de la empresa en la plataforma Orion), a través de COSMICGALE
Solorigate | javier@junquera.io (UNIR 2021) | 17 Ya no estamos hablando de una backdoor como tal Parte de una vulnerabilidad, y el código desplegado no está firmad Atribuído a un segundo actor, diferente de DarkHalo. Especulaciones alrededor de Corea del Norte Supernova
Solorigate | javier@junquera.io (UNIR 2021) | 18 Conclusiones ● Instalar IOC generados por FireEye en sistemas de detección ○ Herramientas de Red Team (https://github.com/fireeye/red_team_tool_countermeasures) ○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures) ● Desarrollo de capacidades analíticas y de respuesta ● Toma de conciencia acerca del rol que juegan proveedores y terceros en el riesgo de la organización ● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
Solorigate | javier@junquera.io (UNIR 2021) | 19 Referencias Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18). Microsoft Security. https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d efender-helps-protect/ Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276 Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12 Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security. https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Solorigate | javier@junquera.io (UNIR 2021) | 20 Referencias SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs. https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/ SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/ SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/ Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia. https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs. /blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/ Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

Recommended

Physical security
Physical securityPhysical security
Physical securityTariq Mahmood
 
Lessson 2 - Application Layer
Lessson 2 - Application LayerLessson 2 - Application Layer
Lessson 2 - Application LayerMLG College of Learning, Inc
 
Metasploit seminar
Metasploit seminarMetasploit seminar
Metasploit seminarhenelpj
 
Cisco cybersecurity essentials chapter - 2
Cisco cybersecurity essentials chapter - 2Cisco cybersecurity essentials chapter - 2
Cisco cybersecurity essentials chapter - 2Mukesh Chinta
 
Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Mukesh Chinta
 
Research paper on cyber security.
Research paper on cyber security.Research paper on cyber security.
Research paper on cyber security.Hussain777
 
Lesson 3- Effectiveness of IDPS
Lesson 3- Effectiveness of IDPSLesson 3- Effectiveness of IDPS
Lesson 3- Effectiveness of IDPSMLG College of Learning, Inc
 
Cyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceCyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceTom K
 

Recommended

Physical security
Physical securityPhysical security
Physical securityTariq Mahmood
 
Lessson 2 - Application Layer
Lessson 2 - Application LayerLessson 2 - Application Layer
Lessson 2 - Application LayerMLG College of Learning, Inc
 
Metasploit seminar
Metasploit seminarMetasploit seminar
Metasploit seminarhenelpj
 
Cisco cybersecurity essentials chapter - 2
Cisco cybersecurity essentials chapter - 2Cisco cybersecurity essentials chapter - 2
Cisco cybersecurity essentials chapter - 2Mukesh Chinta
 
Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Cisco cybersecurity essentials chapter -5
Cisco cybersecurity essentials chapter -5Mukesh Chinta
 
Research paper on cyber security.
Research paper on cyber security.Research paper on cyber security.
Research paper on cyber security.Hussain777
 
Lesson 3- Effectiveness of IDPS
Lesson 3- Effectiveness of IDPSLesson 3- Effectiveness of IDPS
Lesson 3- Effectiveness of IDPSMLG College of Learning, Inc
 
Cyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceCyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceTom K
 
Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4Mukesh Chinta
 
Threat modelling(system + enterprise)
Threat modelling(system + enterprise)Threat modelling(system + enterprise)
Threat modelling(system + enterprise)abhimanyubhogwan
 
Information security
Information security Information security
Information securityJin Castor
 
Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1whitehat 'People'
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Metasploitable
MetasploitableMetasploitable
MetasploitableSri Manakula Vinayagar Engineering College
 
Cyber ppt
Cyber pptCyber ppt
Cyber pptMandar Pathrikar
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Password Policy and Account Lockout Policies
Password Policy and Account Lockout PoliciesPassword Policy and Account Lockout Policies
Password Policy and Account Lockout Policiesanilinvns
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption surveyPaperjam_redaction
 
Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3Mukesh Chinta
 
Cyber warfare
Cyber warfareCyber warfare
Cyber warfareVedangiBrahmbhatt
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chainAnkita Ganguly
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Factory talk metrics
Factory talk metricsFactory talk metrics
Factory talk metricsAlfredo Gallardo Claure
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Sirius
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
Cyber Ethics Notes.pdf
Cyber Ethics Notes.pdfCyber Ethics Notes.pdf
Cyber Ethics Notes.pdfAnupmaMunshi
 
Seguridad en Android
Seguridad en AndroidSeguridad en Android
Seguridad en AndroidDavid Albela Pérez
 
Cibernews.pptx
Cibernews.pptxCibernews.pptx
Cibernews.pptxCristinaVidal40
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...ITS SECURITY
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasFernando Tricas García
 

More Related Content

What's hot

Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4Mukesh Chinta
 
Threat modelling(system + enterprise)
Threat modelling(system + enterprise)Threat modelling(system + enterprise)
Threat modelling(system + enterprise)abhimanyubhogwan
 
Information security
Information security Information security
Information securityJin Castor
 
Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1whitehat 'People'
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Password Policy and Account Lockout Policies
Password Policy and Account Lockout PoliciesPassword Policy and Account Lockout Policies
Password Policy and Account Lockout Policiesanilinvns
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption surveyPaperjam_redaction
 
Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3Mukesh Chinta
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Sirius
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
Cyber Ethics Notes.pdf
Cyber Ethics Notes.pdfCyber Ethics Notes.pdf
Cyber Ethics Notes.pdfAnupmaMunshi
 

What's hot (18)

Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4Cisco cybersecurity essentials chapter 4
Cisco cybersecurity essentials chapter 4
 
Threat modelling(system + enterprise)
Threat modelling(system + enterprise)Threat modelling(system + enterprise)
Threat modelling(system + enterprise)
 
Information security
Information security Information security
Information security
 
Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
 
Metasploitable
MetasploitableMetasploitable
Metasploitable
 
Cyber ppt
Cyber pptCyber ppt
Cyber ppt
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
Password Policy and Account Lockout Policies
Password Policy and Account Lockout PoliciesPassword Policy and Account Lockout Policies
Password Policy and Account Lockout Policies
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption survey
 
Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3Cisco cybersecurity essentials chapter 3
Cisco cybersecurity essentials chapter 3
 
Cyber warfare
Cyber warfareCyber warfare
Cyber warfare
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chain
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?
 
Factory talk metrics
Factory talk metricsFactory talk metrics
Factory talk metrics
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture
 
Cyber Ethics Notes.pdf
Cyber Ethics Notes.pdfCyber Ethics Notes.pdf
Cyber Ethics Notes.pdf
 

Similar to El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...ITS SECURITY
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasFernando Tricas García
 
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADADetección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADAEnrique Martin
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaItconic
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasMateo Martinez
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesJesús Moreno León
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochureschangan1
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Conficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoConficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoIgnacio Sb
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018ITSitio.com
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Symantec LATAM
 

Similar to El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova (20)

Seguridad en Android
Seguridad en AndroidSeguridad en Android
Seguridad en Android
 
Cibernews.pptx
Cibernews.pptxCibernews.pptx
Cibernews.pptx
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridad
 
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADADetección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de Energía
 
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - Hidroeléctricas
 
Eset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 bEset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 b
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel Ballester
 
Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidades
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
desafiosdelciberespacio.pdf
desafiosdelciberespacio.pdfdesafiosdelciberespacio.pdf
desafiosdelciberespacio.pdf
 
Conficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoConficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasado
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
 

More from Javier Junquera

Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Javier Junquera
 
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Javier Junquera
 
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...Javier Junquera
 
The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)Javier Junquera
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
 
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetTecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetJavier Junquera
 

More from Javier Junquera (7)

Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
 
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
 
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
 
The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
 
Password cracking
Password crackingPassword cracking
Password cracking
 
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetTecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
 

Recently uploaded

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 

Recently uploaded (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 

El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

  • 1. Solorigate | javier@junquera.io (UNIR 2021) | 1 Solorigate De SUNBURST a Supernova
  • 2. Solorigate | javier@junquera.io (UNIR 2021) | 2 https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
  • 3. Solorigate | javier@junquera.io (UNIR 2021) | 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  • 4. Solorigate | javier@junquera.io (UNIR 2021) | 4 Introducción SolarWinds es una empresa dedicada a la creación de software para la administración de activos TIC: ● Orion es un producto de inventariado y gestión de sistemas en red ● En diciembre de 2020 se detecta un incidente de seguridad en Orion: ○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
  • 5. Solorigate | javier@junquera.io (UNIR 2021) | 5 Solorigate ENE 2021 Aparece una nueva amenaza conocida como Supernova 13 DIC 2020 FireEye atribuye a backdoor en el software Orion: SUNBURST 8 DIC 2020 FireEye detecta acceso a sus herramientas de Red Team
  • 6. Solorigate | javier@junquera.io (UNIR 2021) | 6 ¿Qué es la supply chain? Sunspot Penetración en SolarWinds, en septiembre de 2019 SEP 19 - FEB 20 Atacantes analizan funcionamiento de Orion: forma de trabajar, protocolos de comunicación, formato del código, etc. SUNBURST Creación e instalación de puerta trasera en Orion (SolarWinds.Orion.Core .BusinessLayer.dll) TEARDROP Actuación del código malicioso en las organizaciones. MAR 20 → MAR 20 (+1) Actualización automática de software de clientes. Infección con software firmado.
  • 7. Solorigate | javier@junquera.io (UNIR 2021) | 7 SUNBURST Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con certificados legítimos de SolarWinds) se dispara el proceso de análisis: ● Permanece dormido (hasta 2 semanas) ● Verifica que está en una organización (AD) ○ Y que esta no es SolarWinds ● Duerme X tiempo ● Comienza a comunicarse con su C2 ○ Lo “busca” generando subdominios pseudo-aleatorios ○ Imita el protocolo de Orion ● Si es un entorno convincente, inicia la fase 2
  • 8. Solorigate | javier@junquera.io (UNIR 2021) | 8 TEARDROP Una vez desplegado SUNBURST, si el equipo infectado forma parte de los objetivos del malware, entra en juego TEARDROP: ● TEARDROP es un dropper que inyecta en memoria una beacon de Cobalt Strike, para permitir el control remoto de la máquina ● Symantec detecta una variante conocida como Raindrop Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
  • 9. Solorigate | javier@junquera.io (UNIR 2021) | 9 Impacto A finales de diciembre de 2020 SolarWinds retira la página de clientes, pero se puede recuperar a través de cachés como Internet Wayback Machine. SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020. https://www.solarwinds.com/company/customers
  • 10. Solorigate | javier@junquera.io (UNIR 2021) | 10 > 18.000 compañías afectadas por SUNBURST (Tarasco & Merino, 2021)
  • 11. Solorigate | javier@junquera.io (UNIR 2021) | 11 Impacto Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1 . Algunos de sus principales clientes: ● Organismos públicos Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU., NASA, NSA ● Organizaciones privadas Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc. 1 (Recorded Future, 2021)
  • 12. Solorigate | javier@junquera.io (UNIR 2021) | 12 Impacto Todavía quedan incógnitas acerca del impacto: ● Clientes internacionales Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter. https://twitter.com/edelahozuah/status/1338880212914855939
  • 13. Solorigate | javier@junquera.io (UNIR 2021) | 13 Impacto Todavía quedan incógnitas acerca del impacto: ● Daños colaterales Organización X Cliente de SolarWinds Organización Y Cliente de organización X (e ignora que existe SolarWinds) SolarWinds Supply chain comprometida
  • 14. Solorigate | javier@junquera.io (UNIR 2021) | 14 Reacciones FireEye ● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como relacionados con sus herramientas de Red Team (robadas) SolarWinds ● Revoca certificados antiguos de software, e inicia una nueva estrategia de seguridad NIST ● Desarrollo de guía de buenas prácticas en gestión de supply chain
  • 15. Solorigate | javier@junquera.io (UNIR 2021) | 15 Atribuciones vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401 Se pasa a conocer como DarkHalo al grupo criminal detrás de SUNBURST. EE.UU. atribuye SUNBURST a Rusia: ● Puede que la puerta trasera se introdujese en un desarrollo en Europa del este ● DarkHalo podría estar relacionado con Turla (Rusia) o APT41 (China)
  • 16. Solorigate | javier@junquera.io (UNIR 2021) | 16 Pero esto no termina aquí… Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de SolarWinds: ● COSMICGALE Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta scripts de infección escritos en PowerShell ● Supernova Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización de logo de la empresa en la plataforma Orion), a través de COSMICGALE
  • 17. Solorigate | javier@junquera.io (UNIR 2021) | 17 Ya no estamos hablando de una backdoor como tal Parte de una vulnerabilidad, y el código desplegado no está firmad Atribuído a un segundo actor, diferente de DarkHalo. Especulaciones alrededor de Corea del Norte Supernova
  • 18. Solorigate | javier@junquera.io (UNIR 2021) | 18 Conclusiones ● Instalar IOC generados por FireEye en sistemas de detección ○ Herramientas de Red Team (https://github.com/fireeye/red_team_tool_countermeasures) ○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures) ● Desarrollo de capacidades analíticas y de respuesta ● Toma de conciencia acerca del rol que juegan proveedores y terceros en el riesgo de la organización ● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
  • 19. Solorigate | javier@junquera.io (UNIR 2021) | 19 Referencias Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18). Microsoft Security. https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d efender-helps-protect/ Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276 Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12 Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security. https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  • 20. Solorigate | javier@junquera.io (UNIR 2021) | 20 Referencias SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs. https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/ SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/ SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/ Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia. https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs. /blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/ Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/