Clever Geek Handbook

SolarWinds und die SUNBURST-Hintertür: Was steckt in dieser APT-Kampagne?





Stellen Sie sich vor, jeder, der zu Hause einen intelligenten Lautsprecher Amazon Echo hat (Yandex Alice, Maroussia - ersetzen Sie einen geeigneten), würde wissen, dass sie in den letzten 6 Monaten ihr Haus aufgeschlossen und Diebe hineingelassen hat. Wie können Sie sich jetzt sicher fühlen, wenn Eindringlinge Kopien Ihrer Schlüssel, Dokumente, Speichermedien erstellen oder beispielsweise das Wasserversorgungssystem vergiften könnten?



Dies ist heute die Situation für Tausende von Unternehmen, die vom Sunburst-Malware-Angriff auf die Software-Lieferkette von SolarWinds betroffen sind. Betroffene Unternehmen suchen verzweifelt nach Anzeichen für einen Kompromiss und führen ein außerplanmäßiges Sicherheitsaudit für die Infrastruktur durch. Einige Unternehmen können sogar eine Reihe von Diensten aussetzen, bis eine Untersuchung ansteht.



Am 8. Dezember gab FireEye bekannt, dass es gehackt wurde, und leitete eine Untersuchung ein, an der die US-Regierung und Microsoft beteiligt waren.



Am 13. Dezember veröffentlichte FireEye einen detaillierten Bericht über den Kompromiss , in dem beschrieben wird, wie bösartiger Code über die Orion-Software von SolarWinds verbreitet wird.



Am 17. Dezember gab die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallmitteilung heraus, die alle Unternehmen, die SolarWinds-Software verwenden, aufforderten, SolarWinds Orion zu aktualisieren oder sogar vom Netzwerk zu trennen (in Schritt 2 des obigen Beitrags). Seitdem hat der Varonis Security Incident Investigation Service einen Anstieg der forensischen Untersuchungen im Zusammenhang mit der Kampagne festgestellt und mehrere aktive Angriffe identifiziert.



Obwohl sich ein Großteil des bisherigen Materials auf die Korrektur kompromittierter Versionen der SolarWinds Orion-Lösung konzentriert hat , gibt es laut CISA Hinweise auf zusätzliche Intrusionsvektoren, die mit dieser Kampagne verbunden sind.



Supply-Chain-Angriffe sind schwer zu verteidigen



Bei einem Supply-Chain-Angriff zielt der Angreifer auf einen vertrauenswürdigen Anbieter oder ein vertrauenswürdiges Produkt ab, anstatt seine Ziele direkt anzugreifen. In diesem Fall haben die Angreifer eine vorbereitete Hintertür ("Hintertür") in ein vertrauenswürdiges Softwareprodukt (SolarWinds Orion) eingefügt, das dann automatisch an Tausende von Clients gesendet und als regelmäßiges Update getarnt wurde.



Die schlechten Nachrichten enden hier nicht - die Angreifer erwiesen sich als raffiniert genug, um monatelang unbemerkt zu bleiben. Sie hatten Zeit, zusätzliche Hintertüren zu verlassen und Zugang zu einer Vielzahl von Systemen und Daten zu erhalten. Derzeit sind Unternehmen, die ein böswilliges Update erhalten haben, gezwungen, absolut alles zu untersuchen: angefangen bei Systemen und Konten, die direkt mit SolarWinds verbunden sind, bis hin zur weiteren Untersuchung.



Primäre Erkennung



Unabhängig davon, ob Sie ein Varonis-Kunde sind oder nicht, besteht der erste Schritt darin, nach einer anfälligen Version der SolarWinds-Software zu suchen. SolarWinds hat anfällige Versionen identifiziert und ab dem 16. Dezember 2020 Updates und Fixes veröffentlicht, um die gefährdeten Komponenten zu ersetzen.



Wenn Ihre Version anfällig ist, sollten Sie folgende Schritte ausführen:



  1. avsvmcloud [.] com ,

    DNS avsvmcloud [.] com, , (C2) SolarWinds Sunburst.

    Varonis , , Varonis Edge .

  2. , SolarWinds

    Varonis , SolarWinds, . , Active Directory, SolarWinds , .



    Varonis SolarWinds – :





  3. , ( , SolarWinds)

    () , , (Azure Active Directory).

    , , Varonis DatAlert.



APT- ( )



Dieser Angriff wurde ausgeführt, ohne eine Zero-Day-Sicherheitsanfälligkeit auszunutzen (mindestens dieselbe Sicherheitsanfälligkeit, die wir derzeit kennen). Die vorherrschende Theorie, die von SolarWinds noch nicht bestätigt wurde, lautet, dass Angreifer öffentliche FTP-Server-Anmeldeinformationen verwendeten, die 2018 auf GitHub entdeckt wurden, um Zugriff auf die Software-Update-Infrastruktur des Unternehmens zu erhalten.







Der Angreifer konnte das Software-Update-Paket ändern und einer der Plugin-Bibliotheken (DLLs) von SolarWinds Orion mit dem Namen SolarWinds.Orion.Core.BusinessLayer.dll eine böswillige Hintertür hinzufügen.







Die Angreifer haben ihre bösartige DLL-Version mit dem privaten Schlüssel von SolarWinds signiert. Das Zertifikat wurde von Symantec ausgestellt.



Wir gehen davon aus, dass der Angreifer die DLL auf zwei Arten signieren konnte:



  1. Der Angreifer war in den Entwicklungsprozess eingebunden, fügte eine Hintertür hinzu und erlaubte SolarWinds, diese als Teil eines legitimen Softwareerstellungs- und -bereitstellungsprozesses zu signieren.
  2. Der Angreifer hat den privaten Schlüssel des Zertifikats gestohlen, die DLLs selbst signiert und die offizielle DLL durch seine schädliche Version ersetzt. Dies ist weniger wahrscheinlich.







Jede Organisation, die SolarWinds-Software verwendet und Updates von ihren Servern erhält, hat eine schädliche DLL heruntergeladen und ausgeführt. Da die DLL über die offiziellen SolarWinds-Update-Server signiert und bereitgestellt wurde, war es äußerst schwierig, schädliche Inhalte zu erkennen.



Analyse der SolarWinds SUNBURST Backdoor (BusinessLayer.dll)



Wenn wir in die bösartige DLL schauen, sehen wir, dass sich die Angreifer auf Stealth verlassen haben. Sie haben große Anstrengungen unternommen, um Code zu schreiben, der mit dem Rest des Orion-Quellcodes harmoniert, und dabei gut geschriebene Argumente und generische, ahnungslose Klassen- und Methodennamen wie "Initialize" oder "Job" verwendet.







Die SolarWinds Sunburst-Hintertür funktioniert in mehreren Phasen:





  1. 12-14 (C2). .









  2. C2 ( , IP-, , ), , .




  3. (DGA) IP- (C2). C2 — SolarWinds OIP (Orion Improvement Program).





  4. , .









  5. , , (), TEARDROP, .





Während der ersten Kommunikationssitzung sendet die Hintertür Informationen über das Gerät und seine Umgebung, die in DNS-Paketen verschlüsselt sind.



Ungewöhnlich bestimmt die IP-Adresse im Antwort-DNS-Paket den nächsten Hop der Backdoor. Abhängig vom Bereich der IP-Adresse beendet oder aktiviert der SUNBURST-Prozess zusätzliche Funktionen , z. B. das Deaktivieren von Antivirenprogrammen oder das Herunterladen und Starten neuer Malware.



Schauen wir uns den Beginn der Backdoor-Kommunikation mit C2 genauer an.



  1. Nach dem Laden der DLL führt SUNBURST eine Reihe von Überprüfungen durch, um sicherzustellen, dass sie im Unternehmensnetzwerk und nicht auf einem isolierten Computer ausgeführt wird.
  2. , « ». . .
  3. FQDN C2, . (domain1 domain2) + , (domain3):







    :



    Domain1 = ‘avsvmcloud[.]com’ 

    Domain2 = ‘appsync-api’ 

    Domain3 = [‘eu-west-1’, ‘us-west-2’, ‘us-east-1’, ‘us-east-2’]

    GetStatus :







  4. (. 2) (. 3) DNS . , DNS , .



    4 :



    «GetCurrentString» «GetPreviousString» GUID / .



    «GetNextString» «GetNextStringEx» GUID.



    DNS-, C2 , .



    , SUNBURST:







    Prevasio , DNS, .

  5. , IP- DNS- SUNBURST. «IPAddressHelper» IP-, IP-, DNS-:







    , IP- , SUNBURST , HTTP .

  6. IP- DNS- C2, CNAME. , :





  7. , SUNBURST DNS- , / , 120 .
  8. SUNBURST HTTP- C2 URL- , HTTP JSON.



    URI:



    hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml 



    , SUNBURST, / , . .:







    DLL



    , SolarWinds (EDR), . , «» .







    SolarWinds Sunburst , TEARDROP, «gracious_truth.jpg» Cobalt Strike Beacon, «» .



    — , , .



    FireEye CISA , (IOC), . , . , , , , — , , (« ») FireEye.



    « » . DLL SolarWinds Orion . , . , , . , , , , .



    CASA , :



    « , , , , . , , ».


More articles:


All Articles