Добро пожаловать обратно, мои начинающие кибервоины!
В последние недели вы, наверняка, слышали о взломе SolarWinds/Sunburst. Кстати, российские государственные хакеры взломали сервер обновлений SolarWinds и установили вредоносное ПО в обновления программного обеспечения. В результате у всех, кто получил обновление за март 2020 года, теперь в системах установлен российский бэкдор. Это касается практически всех министерств правительства США и многих крупных корпораций.
Идея использования обновлений ПО для установки вредоносного ПО не нова. Когда в 2010 году США взломали иранский завод по обогащению урана с помощью Stuxnet , они использовали обновления ПО для установки вредоносного ПО. Подробнее об использовании обновлений ПО для установки вредоносного ПО можно узнать в моём руководстве по EvilGrade здесь .
Теперь, когда многие из нас борются с этим российским бэкдором в своих сетях, мы, вероятно, хотим хотя бы иметь возможность его обнаружить. Snort — это система обнаружения вторжений (IDS), которая обнаруживает подозрительную активность в вашей сети и оповещает о ней. Давайте используем её, чтобы определить, есть ли в вашей сети российский бэкдор, взломанный SolarWinds.
Шаг №1: Установите Snort в своей системе
Если Snort ещё не установлен в вашей сети, вы можете скачать его практически из любого репозитория Linux. Кроме того, вы можете скачать его непосредственно из Snort здесь . Если вы устанавливаете Snort впервые, следуйте моей инструкции здесь.
Шаг №2 Откройте файл правил Snort
Далее нам нужно открыть файл правил Snort. Он находится по адресу etc/snort/rules/community.rules . Можно использовать любой тестовый редактор.
Шаг №3: Скопируйте это правило в свой файл правил
Открыв файл правил сообщества, скопируйте в него следующее правило.
alert tcp any any -> any any (msg:”APT.Backdoor.MSIL.Sunburst”; content:”deftsecurity.com”; sid:77600853; rev:1
Теперь сохраните файл community.rules и закройте текстовый редактор.
Шаг №4: Перезапустите Snort
Наконец, перезапустите snort, и ваше правило будет активировано и будет искать активность этого российского бэкдора в вашей системе!
Краткое содержание
Взлом SolarWinds — один из самых опасных в истории! Если вы подозреваете, что стали жертвой этой атаки, вы можете использовать Snort для обнаружения бэкдора.
В последние недели вы, наверняка, слышали о взломе SolarWinds/Sunburst. Кстати, российские государственные хакеры взломали сервер обновлений SolarWinds и установили вредоносное ПО в обновления программного обеспечения. В результате у всех, кто получил обновление за март 2020 года, теперь в системах установлен российский бэкдор. Это касается практически всех министерств правительства США и многих крупных корпораций.
Идея использования обновлений ПО для установки вредоносного ПО не нова. Когда в 2010 году США взломали иранский завод по обогащению урана с помощью Stuxnet , они использовали обновления ПО для установки вредоносного ПО. Подробнее об использовании обновлений ПО для установки вредоносного ПО можно узнать в моём руководстве по EvilGrade здесь .
Теперь, когда многие из нас борются с этим российским бэкдором в своих сетях, мы, вероятно, хотим хотя бы иметь возможность его обнаружить. Snort — это система обнаружения вторжений (IDS), которая обнаруживает подозрительную активность в вашей сети и оповещает о ней. Давайте используем её, чтобы определить, есть ли в вашей сети российский бэкдор, взломанный SolarWinds.
Шаг №1: Установите Snort в своей системе
Если Snort ещё не установлен в вашей сети, вы можете скачать его практически из любого репозитория Linux. Кроме того, вы можете скачать его непосредственно из Snort здесь . Если вы устанавливаете Snort впервые, следуйте моей инструкции здесь.
Шаг №2 Откройте файл правил Snort
Далее нам нужно открыть файл правил Snort. Он находится по адресу etc/snort/rules/community.rules . Можно использовать любой тестовый редактор.
Шаг №3: Скопируйте это правило в свой файл правил
Открыв файл правил сообщества, скопируйте в него следующее правило.
alert tcp any any -> any any (msg:”APT.Backdoor.MSIL.Sunburst”; content:”deftsecurity.com”; sid:77600853; rev:1
Теперь сохраните файл community.rules и закройте текстовый редактор.
Шаг №4: Перезапустите Snort
Наконец, перезапустите snort, и ваше правило будет активировано и будет искать активность этого российского бэкдора в вашей системе!
Краткое содержание
Взлом SolarWinds — один из самых опасных в истории! Если вы подозреваете, что стали жертвой этой атаки, вы можете использовать Snort для обнаружения бэкдора.
