Dalam upaya untuk membantu pebisnis menganalisis kode sumber dalam skala besar, Microsoft telah membuka kueri CodeQL yang digunakan untuk mendeteksi indikator disusupi (IoC) dan pola pengkodean yang terkait dengan Solorigate.
Aspek kunci dari serangan Solorigate adalah rantai pasokan pembobolan yang memungkinkan penyerang memodifikasi biner dalam produk Orion SolarWinds. Karena biner yang dimodifikasi ini didistribusikan melalui saluran pembaruan yang sah, mereka mengizinkan penyerang untuk melakukan aktivitas berbahaya dari jarak jauh termasuk pencurian kredensial, eskalasi hak istimewa, dan proses untuk mencuri informasi sensitif.
Microsoft telah memutuskan untuk membuka kode sumber kueri CodeQL yang digunakannya dalam penyelidikannya sehingga organisasi lain dapat melakukan analisis serupa pada perangkat lunak dan sistem mereka.
Meskipun tidak ada jaminan bahwa penjahat dunia maya akan membatasi diri pada fungsionalitas atau gaya pengkodean yang sama yang digunakan dalam peretasan SolarWinds, kueri ini masih dapat membantu organisasi untuk mendeteksi serangan di masa mendatang.
CodeQL
CodeQL adalah mesin analisis kode semantik yang kuat yang sekarang menjadi bagian dari GitHub dan dapat diunduh oleh organisasi yang ingin menggunakannya dalam upaya meneliti keamanan mereka sendiri.
Tidak seperti solusi analisis lainnya, CodeQL bekerja dalam dua tahap berbeda. Pertama, mesin analisis kode membangun database yang menangkap model kode sumber yang dikompilasi ke dalam biner. Setelah database dibuat, database tersebut dapat di-query berulang kali seperti database lainnya. Bahasa CodeQL juga dibuat khusus untuk memudahkan pemilihan kondisi kode yang kompleks dari database.
Dalam posting blog baru, Tim Keamanan Microsoft menjelaskan bagaimana mereka mengumpulkan database CodeQL yang dihasilkan oleh sistem build atau pipeline di seluruh perusahaan ke dalam infrastruktur terpusat, dengan mengatakan:
“Melakukan agregasi basis data CodeQL memungkinkan kami untuk mencari secara semantik di banyak basis kode kami dan mencari kondisi kode yang dapat menjangkau antara beberapa assembly, pustaka, atau modul berdasarkan kode tertentu yang merupakan bagian dari sebuah build. Kami membangun kemampuan ini untuk menganalisis ribuan repositori untuk varian kerentanan yang baru saja dideskripsikan dalam beberapa jam setelah varian dijelaskan, tetapi kemampuan ini juga memungkinkan kami melakukan investigasi pertama untuk pola implan Solorigate dengan cara yang sama, dengan cepat. ”
source:
Aspek kunci dari serangan Solorigate adalah rantai pasokan pembobolan yang memungkinkan penyerang memodifikasi biner dalam produk Orion SolarWinds. Karena biner yang dimodifikasi ini didistribusikan melalui saluran pembaruan yang sah, mereka mengizinkan penyerang untuk melakukan aktivitas berbahaya dari jarak jauh termasuk pencurian kredensial, eskalasi hak istimewa, dan proses untuk mencuri informasi sensitif.
Microsoft telah memutuskan untuk membuka kode sumber kueri CodeQL yang digunakannya dalam penyelidikannya sehingga organisasi lain dapat melakukan analisis serupa pada perangkat lunak dan sistem mereka.
Meskipun tidak ada jaminan bahwa penjahat dunia maya akan membatasi diri pada fungsionalitas atau gaya pengkodean yang sama yang digunakan dalam peretasan SolarWinds, kueri ini masih dapat membantu organisasi untuk mendeteksi serangan di masa mendatang.
CodeQL
CodeQL adalah mesin analisis kode semantik yang kuat yang sekarang menjadi bagian dari GitHub dan dapat diunduh oleh organisasi yang ingin menggunakannya dalam upaya meneliti keamanan mereka sendiri.
Tidak seperti solusi analisis lainnya, CodeQL bekerja dalam dua tahap berbeda. Pertama, mesin analisis kode membangun database yang menangkap model kode sumber yang dikompilasi ke dalam biner. Setelah database dibuat, database tersebut dapat di-query berulang kali seperti database lainnya. Bahasa CodeQL juga dibuat khusus untuk memudahkan pemilihan kondisi kode yang kompleks dari database.
Dalam posting blog baru, Tim Keamanan Microsoft menjelaskan bagaimana mereka mengumpulkan database CodeQL yang dihasilkan oleh sistem build atau pipeline di seluruh perusahaan ke dalam infrastruktur terpusat, dengan mengatakan:
“Melakukan agregasi basis data CodeQL memungkinkan kami untuk mencari secara semantik di banyak basis kode kami dan mencari kondisi kode yang dapat menjangkau antara beberapa assembly, pustaka, atau modul berdasarkan kode tertentu yang merupakan bagian dari sebuah build. Kami membangun kemampuan ini untuk menganalisis ribuan repositori untuk varian kerentanan yang baru saja dideskripsikan dalam beberapa jam setelah varian dijelaskan, tetapi kemampuan ini juga memungkinkan kami melakukan investigasi pertama untuk pola implan Solorigate dengan cara yang sama, dengan cepat. ”
source:
Redirecting…
securitylab.github.com
