{"id":1550,"date":"2020-12-18T11:05:49","date_gmt":"2020-12-18T14:05:49","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=1550"},"modified":"2020-12-18T14:10:46","modified_gmt":"2020-12-18T17:10:46","slug":"ataque-a-cadeia-de-suprimentos-da-solarwinds","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/ataque-a-cadeia-de-suprimentos-da-solarwinds\/","title":{"rendered":"Ataque \u00e0 cadeia de suprimentos da SolarWinds"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Como voc\u00ea deve ter visto, uma brecha relacionada a ferramenta de monitoramento de rede SolarWinds Orion foi anunciada na tarde do dia 13 de dezembro que parece afetar e permitir ataque a 18.000 dos clientes ativos deles. N\u00f3s nos mantivemos informados e gostar\u00edamos de oferecer algumas atualiza\u00e7\u00f5es e passos de recomenda\u00e7\u00e3o a serem seguidos.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/ataque-a-cadeia-de-suprimentos-da-solarwinds\/#P_O_que_aconteceu\" >P: O que aconteceu?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/ataque-a-cadeia-de-suprimentos-da-solarwinds\/#P_Como_a_AIQON_pode_me_ajudar_a_responder_a_essa_informacao\" >P: Como a AIQON pode me ajudar a responder a essa informa\u00e7\u00e3o?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/ataque-a-cadeia-de-suprimentos-da-solarwinds\/#P_O_que_o_Obsidian_ja_fez_para_ajudar_os_clientes_a_responder_a_esse_tipo_de_ataque\" >P: O que o Obsidian j\u00e1 fez para ajudar os clientes a responder a esse tipo de ataque?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/ataque-a-cadeia-de-suprimentos-da-solarwinds\/#P_O_que_eu_deveria_saber\" >P: O que eu deveria saber?<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"P_O_que_aconteceu\"><\/span>P: O que aconteceu?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Hackers russos pertencentes ao grupo de amea\u00e7a APT29 (conhecido como Cozy Bear) adulteraram o software de atualiza\u00e7\u00e3o do SolarWinds para implementar malwares e executar o ataque. Esse tipo de ataque \u00e9 conhecido como \u201csupply chain attack\u201d. Uma vez dentro dos ambientes, os atacantes conseguem as vezes comprometer contas do Office 365 roubando tokens de SAML para personificar e espiar e-mails e exfiltrar dados. Essa informa\u00e7\u00e3o foi confirmada pelo departamento de tesouro e com\u00e9rcio dos EUA. Essas t\u00e9cnicas funcionam de forma similar em diversas aplica\u00e7\u00f5es de SaaS, apesar de n\u00e3o haver incid\u00eancias confirmadas relatadas.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"P_Como_a_AIQON_pode_me_ajudar_a_responder_a_essa_informacao\"><\/span>P: Como a AIQON pode me ajudar a responder a essa informa\u00e7\u00e3o?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Monitoramento cont\u00ednuo:<\/strong> Uma das ferramentas fornecidas pela AIQON, \u00e9 o <a href=\"https:\/\/aiqon.com.br\/obsidian\/\">Obsidian \u2013 Cloud Detection Response<\/a> \u2013 Utilize o Obsidian para monitorar a atividade suspeita nas contas de SaaS como logins de locais estranhos ou novos dispositivos com <a href=\"https:\/\/aiqon.com.br\/blog\/?s=mfa\">MFA<\/a> sendo adicionado as contas. Esteja sempre em alerta. O comportamento exibido no O365 pode ser usado para acessar outros sistemas logo mais avalia\u00e7\u00f5es, analises e procura s\u00e3o encorajadas.<\/p>\n<p><strong>Persist\u00eancia no SaaS:<\/strong> Procure por alertas ao redor de atividade privilegiada suspeita. Examine novas contas privilegiadas criadas nos \u00faltimos 6 meses (a cria\u00e7\u00e3o de conta foi um marco para esse ataque). Procure por exfiltra\u00e7\u00e3o de dados usando alertas e a pesquisa do Obsidian.<\/p>\n<p><strong>Resposta ao incidente:<\/strong> Voc\u00ea instalou alguma atualiza\u00e7\u00e3o do SolarWinds nos \u00faltimos 6 meses? Use a linha do tempo de atividade do Obsidian para investigar se uma brecha ocorreu e caso tenha ocorrido, identifique o impacto. Mais importantes, sabemos que o Solarwinds era um dos caminhos at\u00e9 a organiza\u00e7\u00e3o e ataque. Mas isso n\u00e3o significa que ele era o \u00fanico. O destino era apps de produtividade (Office 365, G su\u00edte, Box, etc.) ent\u00e3o monitore-os.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/obsidian\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1191 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/protecao-para-o-saas.jpg\" alt=\"ataque solarwinds\" width=\"1024\" height=\"512\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/protecao-para-o-saas.jpg 1024w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/protecao-para-o-saas-300x150.jpg 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/protecao-para-o-saas-768x384.jpg 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"P_O_que_o_Obsidian_ja_fez_para_ajudar_os_clientes_a_responder_a_esse_tipo_de_ataque\"><\/span>P: O que o Obsidian j\u00e1 fez para ajudar os clientes a responder a esse tipo de ataque?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Revis\u00e3o de indicador:<\/strong> A equipe de pesquisa de amea\u00e7a da Obsidian tem avaliado os indicadores baseados em IP para poss\u00edveis sinais de atividade com o ambiente do cliente j\u00e1 que a pesquisa indica que o atacante utilizou sua infraestrutura C2 para acessar os <a href=\"https:\/\/aiqon.com.br\/blog\/protecao-para-o-saas-de-forma-eficiente\/\">ambientes de SaaS<\/a>. N\u00f3s entraremos em contato com quaisquer organiza\u00e7\u00f5es potencialmente afetadas diretamente.<\/p>\n<p><strong>Buscas salvas para procura:<\/strong> Alguns indicadores t\u00eam uma fidelidade menor e podem ver a atividade do seu ambiente mesmo em circunst\u00e2ncias normais. Para esses, criamos uma nova sub-se\u00e7\u00e3o do Obsidian busca salva chamada de \u201cCampanhas de amea\u00e7a\u201d. Analise os resultados dessas buscas para atividades suspeitas com base no conhecimento da sua pr\u00f3pria organiza\u00e7\u00e3o. Elas s\u00e3o focadas em detectar o acesso inicial e as credenciais iniciais similar as t\u00e1ticas, t\u00e9cnicas e procedimentos publicados sobre essa atividade.<\/p>\n<p><em>Nota: Essas consultas representam poss\u00edveis indicadores de comprometimento e n\u00e3o s\u00e3o imediatamente indicativos de atividade maliciosa.<\/em><\/p>\n<h2><span class=\"ez-toc-section\" id=\"P_O_que_eu_deveria_saber\"><\/span>P: O que eu deveria saber?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Procure e crie algumas regras. As buscas salvas que oferecemos s\u00e3o um grande come\u00e7o para procurar dentro do seu ambiente. A medida que voc\u00ea come\u00e7a a filtrar os resultados, voc\u00ea pode encontrar eventos que parecem notavelmente suspeitos ou que s\u00e3o maliciosos. Neste ponto da sua procura, sugerimos que voc\u00ea crie um bot\u00e3o de \u201cregra de alerta\u201d para ser notificado de atividade futura.<\/p>\n<p>Links uteis<\/p>\n<ul>\n<li><a href=\"https:\/\/i7.t.hubspotemail.net\/e2t\/tc\/VVVZgL1GhBKWW5WKf4z2DskCRW6R-97G4kDFl_N2SX24p3lGnpV1-WJV7CgYvwW4nYsPB3SR-KFW3nF4RG8YTdRyW2hCGRF1MsshWW3r9DSj20sXxbW1vsz7L75M3sfW4B8CMy3BgDvgW9kSZJp6t7GSpW8VpH4g7j6xZsW7VkScm28YJW8W6fwcGH1-PXSvW10vyn32hrZdxW4_PvF-78W22cW3sC-f55zg9GpW24w2_j5mstVFW3KqWTf2_VPkPW4lYMsg99h3JrW56cc584n2d7KW2kYHgl4MTCG6W1F0bPk74TNsTW39dm9x7yPPlsW8K4BP97_4hk_W2hTmG77HQFJDW9bSKCW65FDv3W88LkwK47y7tZW6_C3QY7twZp3W4DH19t46_kmS327g1\">Reuters Disclosure of the U.S. Treasury<\/a><\/li>\n<li><a href=\"https:\/\/i7.t.hubspotemail.net\/e2t\/tc\/VVVZgL1GhBKWW5WKf4z2DskCRW6R-97G4kDFl_N2SX24J3lGnJV1-WJV7CgX-sW8-ZsW07wRL24W5vkSgQ4CRfM4W2JGGRY8zPq1JW7KzDg02x-PCgW8Y1S757j3t_RVMLfXR34-8qZVSWTMH8dTq8vN2sGMYKyZHW0MGHb7clvkr6W9d5pgp5Fg8GlW3qNDjy2dD91tN1rzYLy7HjhgW5KBhfv2kRSmKW48cbV91s-j1_W1CrBVJ3vZMdlW2--_jv1_ZJDJVNt2tq7hdFS_W4SmMV66vKs4gW2jMqTh65082rN2V11wkst_4hW7BqBvH3Mc_JrW8RbjBk9lx6WWV732fF6GTGzwW4ZC62c6Kn6KFW2Bn67r18hbdjW64Z20T3r0xNxW7Zb1cx1KqnybV1zP_g5LSMmK3cLc1\">Microsoft Recommendations to Customers<\/a><\/li>\n<li><a href=\"https:\/\/www.fireeye.com\/blog\/threat-research\/2020\/12\/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html\">Atacante altamente evasivo aproveita a cadeia de suprimentos da SolarWinds para comprometer v\u00e1rias v\u00edtimas globais com o backdoor SUNBURST<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Como voc\u00ea deve ter visto, uma brecha relacionada a ferramenta de monitoramento de rede SolarWinds Orion foi anunciada na tarde do dia 13 de dezembro que parece afetar e permitir ataque a 18.000 dos clientes ativos deles. N\u00f3s nos mantivemos informados e gostar\u00edamos de oferecer algumas atualiza\u00e7\u00f5es e passos de recomenda\u00e7\u00e3o a serem seguidos. P: [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1553,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[110],"tags":[149,150],"class_list":["post-1550","post","type-post","status-publish","format-standard","has-post-thumbnail","category-saas","tag-saas","tag-solarwinds","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/12\/white-notebook-black-data-firewall.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1550"}],"version-history":[{"count":3,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1550\/revisions"}],"predecessor-version":[{"id":1555,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1550\/revisions\/1555"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/1553"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}