Skip to main content
Lanterna Home

Splunk Lantern

Detecção de malware Supernova web shell

  1. Last updated
  2. Save as PDF

A sua empresa utiliza o software empresarial SolarWinds Orion, que é vulnerável ao ataque de malware Supernova. Este ataque expõe o SolarWinds Orion através de um Web shell na memória. O Supernova aproveita o que era uma vulnerabilidade de dia zero para instalar uma DLL .NET trojanizada. Esta DLL não está assinada digitalmente como o DLL Sunburst foi, que é uma das razões pelas quais vários investigadores acreditam que este é um agente de ameaça diferente que utiliza uma vulnerabilidade para carregar o seu código malicioso em sistemas vulneráveis. O malware que é carregado é um web shell. Este Técnica MITRE ATT&CK, T1505 , é utilizado pelos adversários para servidores web backdoor e estabelecer acesso persistente aos sistemas. Sabe que precisa de corrigir o software SolarWinds, mas também precisa procurar sinais de que os seus sistemas foram comprometidos.

Como utilizar o software Splunk para este caso de utilização

Dependendo das informações disponíveis, poderá ser útil identificar alguns ou todos os seguintes:

Próximos passos

Depois de executar cada uma das pesquisas, terá de recolher provas, remover o malware e corrigir a vulnerabilidade.

O conteúdo neste caso de uso vem de blogues publicados anteriormente , um dos milhares de recursos do Splunk disponíveis para ajudar os utilizadores a terem sucesso. Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização específico:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.