更新:マイクロソフトは、SolarWinds のサプライ チェーンを侵害し、他の複数の組織に影響を与えた国家レベルのサイバー攻撃の背後にある脅威アクターに関する知識を拡大するために、パートナーおよび顧客と協力し続けています。 Microsoft はこれまで攻撃者の主要な指定として「Solorigate」を使用していましたが、今後は、攻撃者が使用するマルウェアの例ではなく、巧妙な攻撃の背後にある攻撃者に適切な焦点を当てたいと考えています。 Microsoft Threat Intelligence Center (MSTIC) は、SolarWinds、SUNBURST バックドア、TEARDROP マルウェア、および関連コンポーネントに対する攻撃の背後にいる攻撃者をNOBELIUMと名付けました。新しいコンテンツと分析をリリースする際には、NOBELIUM を使用してアクターと攻撃キャンペーンを参照します。
マイクロソフトは、正規のソフトウェアからの侵害されたバイナリを含む巧妙な攻撃の発見を取り巻く動的な脅威環境を監視しています。 SolarWinds Orion プラットフォームに関連するこれらのバイナリは、攻撃者がデバイスにリモート アクセスするために使用される可能性があります。 https://aka.ms/solorigateでより多くの情報が入手可能になると、常に更新されるリソース センターが確立されました。
12 月 13 日日曜日、Microsoft は、これらの悪意のあるバイナリの存在を顧客に警告する検出をリリースし、デバイスを分離して調査することを推奨しました。これらのバイナリは、お客様の環境にとって重大な脅威であることを理解することが重要です。お客様は、バイナリのあるデバイスは侵害されていると見なす必要があり、このアラートが表示されたデバイスを既に調査している必要があります。
12 月 16 日水曜日の午前 8:00 PST から、Microsoft Defender ウイルス対策は既知の悪意のある SolarWinds バイナリのブロックを開始します。これにより、プロセスが実行中であってもバイナリが隔離されます。また、これはお客様の環境で実行されるサーバー製品であることも認識しているため、製品をサービスから削除するのは簡単ではない場合があります。それにもかかわらず、Microsoft は、お客様がこれらのデバイスを分離して調査することを引き続き推奨しています。
- 影響を受けたデバイスをただちに隔離してください。悪意のあるコードが起動された場合、デバイスが完全に攻撃者の制御下にある可能性があります。
- 影響を受けるデバイスで使用されているアカウントを特定し、これらのアカウントが侵害されたと考えてください。パスワードをリセットするか、アカウントを廃止します。
- 影響を受けるエンドポイントがどのように侵害された可能性があるかを調査します。
- 侵害されたアカウントの 1 つを使用して、デバイスのタイムラインを調査し、ラテラル ムーブメント アクティビティの兆候を調べます。認証情報へのアクセス、ラテラル ムーブメント、およびその他の攻撃活動を可能にするために、攻撃者がドロップした可能性のある追加のツールを確認します。
サービスの中断が不可能な場合、お客様は以下のアクションを実行して SolarWinds バイナリを除外する必要があります。これは一時的な変更であり、プロバイダーからバイナリを更新するか、調査を完了したらすぐに元に戻す必要があります。
GPO 指示による Microsoft Defender ウイルス対策の場合:
パス:コンピューターの構成>管理用テンプレート> Windows コンポーネント> Microsoft Defender ウイルス対策(または Windows Defender ウイルス対策) >脅威>検出されたときに既定のアクションを実行しない脅威を指定します。
値の名前: 2147771206
値: 6
GPO 命令による SCEP の場合:
パス: [コンピューターの構成] > [管理用テンプレート] > [ Windows コンポーネント] > [エンドポイント保護] > [脅威] > [検出時に既定のアクションを実行しない脅威を指定する] 。
値の名前: 2147771206
値: 6
注: [エンドポイント保護] セクションが表示されない場合は、次を参照してください: グループ ポリシーを使用してエンドポイント保護を管理する – 構成マネージャー | Microsoft Docs
Microsoft Defender ウイルス対策および SCCM 経由の SCEP の場合:
パス:資産とコンプライアンス、エンドポイント保護> マルウェア対策ポリシー>脅威の上書き>脅威名を入力: Trojan:MSIL/Solorigate.BR!dha
パス:資産とコンプライアンス、エンドポイント保護> マルウェア対策ポリシー> <関連するポリシーを選択> >脅威の上書き>脅威名を入力: Trojan:MSIL/Solorigate.BR!dha
オーバーライド アクション:許可
PowerShell を使用した MEM 経由の MDAV の場合:
- 次の内容で PowerShell スクリプトを作成します。
セット MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6
- 次のようにスクリプトに名前を付けます: Allow_SolarWinds.ps1
- C:Tempなどの一時的な場所に保存します。
- https://endpoint.microsoft.comにアクセスしてサインインします。
- [デバイス] > [ Windows ] > [ PowerShell スクリプト]を参照します。
- +Add を選択し、次の設定を指定します。
名前: SolarWinds を一時的に許可する
説明:パッチ適用中に SolarWinds を一時的に許可する
- [次へ] を選択し、PowerShell スクリプトを保存した場所 (たとえば、 C:TempAllow_SolarWinds.ps1 ) を参照します。
- 次の設定を使用してスクリプトを実行します。
ログオンした資格情報を使用してこのスクリプトを実行します:いいえ
スクリプト署名チェックを強制する:いいえ
64 ビット PowerShell ホストでスクリプトを実行する:はい
- [次へ] を選択します。
- Scope タグには、 <default>を使用します。
- [次へ] を選択します。
- 割り当ての場合は、 [含めるグループを選択] を選択し、Windows 10 デバイスを含むセキュリティ グループを選択します。
- [選択] を選択し、[次へ] を選択します。
- 設定を確認し、[追加]を選択します。
注: MEM (Intune) PowerShell スクリプトのトラブルシューティングについては、 C:ProgramDataMicrosoft Intune Management ExtensionLogsIntuneManagementExtension.log を確認してください。
PowerShell を介した手動の Microsoft Defender ウイルス対策の場合:
管理者として PowerShell を起動する
セット MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6
PowerShell による手動 SCEP の場合:
管理者として PowerShell を起動する
Import-Module “$env:ProgramFilesMicrosoft Security ClientMpProviderMpProvider.psd1”
セット MProtPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6
[設定] > [インジケータ] > [ファイル ハッシュ] に移動し、影響を受ける DLL の特定のファイル ハッシュを追加し、応答アクションとして[許可して保存] を選択します。
C:Program Files (x86)SolarWindsOrion
また
<solar_windows_custom_install_location>Orion
注: フォルダーの場所に基づいて除外を構成する場合は、ベンダーから修復されたバイナリを取得した後、できるだけ早くこの除外を削除してください。そうしないと、将来の攻撃のためにデバイスに場所を残すことになります。
パッシブ モードの Microsoft Defender ウイルス対策に関する注意:
- ブロック モードの EDRが有効で、Microsoft Defender AV がサード パーティのウイルス対策製品でパッシブ モードになっている場合、提供された指示に従って除外されていない場合、Microsoft Defender ウイルス対策はアクションを実行します。
- ブロック モードの EDR が有効になっておらず、Microsoft Defender ウイルス対策がサード パーティのウイルス対策製品でパッシブ モードになっている場合、Microsoft Defender ウイルス対策は警告を発しますが、修復アクションは実行されません。
Microsoft は、このインシデントに関して SolarWinds と連絡を取り合っています。 SolarWinds は、お客様がこの問題を軽減するのに役立つ更新をリリースし、さらにお客様の推奨事項と製品の更新されたバイナリを提供しました。詳細については、 https://www.solarwinds.com/securityadvisoryをご覧ください。
Microsoft からの詳細とガイダンスについては、次を参照してください。
Comments