Suche
Schließen Sie dieses Suchfeld.

SolarWinds SUNBURST Backdoor DGA und Analyse infizierter Domänen

Analyse des Firewall-Verkehrs
Am 13. Dezember 2020 haben mehrere Anbieter wie FireEye und Microsoft berichteten über neu auftretende Bedrohungen durch einen nationalstaatlichen Bedrohungsakteur, der SolarWinds kompromittiert und SolarWinds Orion-Business-Software-Updates trojanisiert hat, um Backdoor-Malware namens SUNBURST zu verbreiten. Aufgrund der Popularität von SolarWinds waren mehrere Regierungsbehörden und viele Fortune 500-Unternehmen von den Angriffen betroffen. Es erschien auch in der jüngsten Zeit CISA-Notfallrichtlinie 20-01

Wir haben dekodierte DGA-Domains von SUNBURST analysiert und 165 eindeutige Domains gefunden, die von der Backdoor-Malware betroffen waren. Einige von ihnen könnten Opfer sein, und einige von ihnen könnten sich auf Sicherheitserkennung oder -analyse wie Sandboxing beziehen. Wir haben festgestellt, dass die betroffenen Domänen sich über verschiedene Arten von Organisationen erstrecken (einschließlich Informationstechnologie, öffentliche Verwaltung, Bildung sowie Finanzen und Versicherungen usw.) und zu 25 verschiedenen Ländern gehören (die sich auf alle Kontinente mit Ausnahme der Antarktis erstrecken). 

1.0 Einführung in SolarWinds Orion Supply Chain Compromise

Wie im FireEye-Bericht erwähnt, könnten die SolarWinds von einem nationalstaatlichen Bedrohungsakteur angegriffen werden. Aber welches bleibt ein Rätsel. Einige Nachrichtenartikel Vermutung, dass es sich um APT29 oder Cosy Bear handelt, eine russische Hacker-Gruppe, und die detaillierten Beweise werden nicht enthüllt. 

Laut SpeichernBreachDer Sicherheitsforscher Vinoth Kumar entdeckte, dass ein Passwort, das zum SolarWinds-Update-Server gehört, seit 2018 an Github weitergegeben wurde. Es ist unklar, ob die Angreifer das schwache Passwort bei den Angriffen verwendet haben, aber es zeigt die Schwäche der SolarWinds-Sicherheitslage. 

In einer Bericht von SolarWinds eingereicht Für die SEC waren die E-Mails von SolarWinds über Office 365 möglicherweise kompromittiert und "haben möglicherweise Zugriff auf andere Daten gewährt, die in den Office-Produktivitätstools des Unternehmens enthalten sind". 

SolarWinds sagte so viele wie 18,000 von seinen hochkarätigen Kunden haben möglicherweise eine verdorbene Version seiner Orion-Produkte installiert.

2.0 SUNBURST DGA-Algorithmus und Kommunikation

Auf Netzwerkebene sind die im C2-Kanal (Command and Control) verwendeten Domänen die offensichtlichsten IOCs im Zusammenhang mit SUNBURST. Es kommt mit einem starken Muster und ahmt Cloud-Hostnamen nach, z. 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, eine DGA-Domäne (Domain Generation Algorithm). 

Die FireEye- und Microsoft-Berichte gehören zu den ersten, die technische Details zur SUNBURST-Backdoor-Malware enthalten. Von dort wissen wir, dass die Angreifer böswillige Updates injiziert haben SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Innerhalb des Updates ist die schädliche Komponente SolarWinds.Orion.Core.BusinessLayer.dll

Durch die Analyse dieser .NET DLL-Binärdatei können verschiedene Forschungsgruppen (RedDrip und Prevasio) enthüllte einige Details bezüglich der Codierung von DGA-Domänen. Die allgemeine Weisheit zeigt, dass die Domänen einer Struktur folgen:

$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com

Das $ {region} ist in einem der vier Werte:

  • eu-west-1
  • US-West-2
  • us-east-1
  • us-east-2

Das $ {GUID} Ein Teil stammt aus einem Hash von Informationen auf Hostebene, sodass er nicht einfach umkehrbar ist. 

Das $ {Encoded_AD_domain} Interessant ist vor allem, dass der entsprechende Klartextwert über den .NET-API-Aufruf anzeigt, zu welcher Domäne der Computer gehört:
IPGlobalProperties.GetIPGlobalProperties (). DomainName

Im Wesentlichen gibt die API den Namen der Windows-Domäne zurück. Dadurch können wir herausfinden, zu welchem ​​Unternehmen die Maschine gehört. 

2.1 Codierte AD-Domänen dekodieren

Wir nutzen die Forschungsentdeckung von RedDrip und Prevasio, auf die Decodierungsalgorithmen, um die wiederherzustellen $ {Encoded_AD_domain}. Grundsätzlich verwendet der Angreifer zwei verschiedene Dekodierungsfunktionen: Eine ist eine angepasste BASE32_decode-Funktion und eine andere ist eine angepasste Verschlüsselung zum Ersetzen von Buchstaben, wenn der Domänenname nur Kleinbuchstaben plus enthält [0_-.]

3.0 Analyse infizierter Domänen

Laut CRN-NachrichtenSolarWinds gab an, dass zu seinen Kunden 425 der US Fortune 500, die zehn größten US-Telekommunikationsunternehmen, die fünf größten US-Wirtschaftsprüfungsunternehmen, alle Zweige des US-Militärs, das Pentagon, das Außenministerium sowie Hunderte von Universitäten und Hochschulen gehörten weltweit.

Um infizierte Domänen beim SUNBURST Backdoor-Angriff zu analysieren, haben wir beobachtete Hostnamen für die DGA-Domänen aus mehreren Quellen gesammelt. Eine wichtige Quelle ist in Github Zur Verfügung gestellt von Bambenek-Beratungund die andere Hauptquelle ist in Papierkorb einfügen bezogen von Zetalytics / Zonecruncher

Durch Einspeisen der codierten DGA-Domänen in das Decodierungsskript erhielten wir eine Liste der decodierten Domainnamen, die von den Opfern des SUNBURST-Backdoor-Angriffs generiert worden sein könnten. Anschließend haben wir versucht, die dekodierten Domain-Namen manuell über die Google-Suche den Firmen- / Organisationsnamen zuzuordnen. Wir konnten 165 dekodierte Domainnamen dem Firmen- / Organisationsnamen zuordnen.

Haftungsausschluss: Es wurde nicht überprüft, ob alle dekodierten Domänen gültige Windows-Domänen sind und tatsächlich den Opfern gehören. Es basiert größtenteils auf menschlichem Urteilsvermögen. Unsere manuelle Zuordnung von dekodierten Domain-Namen zu ihren Firmen- / Organisationsnamen könnte ungenau sein.

3.1 Verteilung der Opfer nach Branchenkategorien

Wir haben festgestellt, dass sich die Opferunternehmen / -organisationen über verschiedene Branchen erstrecken. Wir haben sie basierend auf dem in verschiedene Kategorien eingeteilt NAICS (Nordamerikanisches Industrieklassifizierungssystem) vom United States Census Bureau. Ihre Verteilung nach Kategorien ist in Abbildung 1 dargestellt. Aus den vorliegenden Stichproben sind IT-Unternehmen, öffentliche Verwaltung (z. B. Regierung) und Bildungsdienste (z. B. Universitäten) am stärksten vom SUNBURST-Backdoor-Angriff betroffen.

EDR-Software

Abbildung 1: Verteilung der Opfer nach Branchenkategorien

3.2 Verteilung der Opfer nach Ländern

Wir haben festgestellt, dass die Opferunternehmen / -organisationen 25 verschiedenen Ländern angehören. Ihre Verteilung nach Kontinenten ist in Abbildung 2 dargestellt. Die Auswirkungen des Angriffs sind weltweit.

Öffnen Sie die XDR-Sicherheitsdienste

Abbildung 2: Verteilung der Opfer nach Kontinent.

Die Top-Länder mit den meisten Opfern sind:

Ländername Opferzahl
USA 110
Kanada 13
Israel 5
Dänemark 5
Australien 4
Großbritannien 4

4.0 Verteidigung gegen SUNBURST mit der Open XDR-Plattform von Stellar Cyber

Während SUNBURST eine heimliche und hoch entwickelte Bedrohung ist, hinterlässt es wichtige Spuren, um sich zu identifizieren. 

Erstens ist es für Unternehmen wichtig, Artefakte und Spuren in Bezug auf ihre Netzwerke in einer Sicherheit zu speichern Daten See wie die Open XDR-Plattform von Stellar Cyber. Wenn der Angriff weltweit bekannt ist, können Unternehmen die Indikatoren schnell anhand der historischen Daten überprüfen, um festzustellen, ob sie verletzt wurden. Bei anspruchsvollen Bedrohungen wie SUNBURST sind die C2-Domänen (Command & Control) und IP-Adressen normalerweise starke Signale. Insbesondere für SUNBURST weist die C2-Domäne ein Muster von auf avsvmcloud.com. Die Unternehmen müssen eine gute NTA-Lösung (NDR) bereitstellen, mit der wichtige Metadaten aus dem Datenverkehr von DNS und anderen wichtigen L7-Anwendungsprotokollen protokolliert werden können. Die Datenaufnahme über DNS-Protokolle ist ebenfalls hilfreich, erfasst jedoch möglicherweise nicht die Signale, wenn der Angreifer öffentliches DNS wie Google DNS (8.8.8.8) usw. verwendet Unternehmen können unbekannte verdächtige Signale früher finden. 

Zweitens ist die EDR-Endpunkt-Telemetrie auch sehr wichtig und nützlich. Zusammen mit Signalen auf Netzwerkebene können die Unternehmen mit der Open XDR-Plattform von Stellar Cyber ​​die verdächtige seitliche Bewegung innerhalb des Unternehmens identifizieren und den SUNBURST wie Malware sowohl über Threat Intelligence als auch über Threat Intelligence erkennen unbekannte verdächtige Aktivitäten. Die Stellar Cyber-Plattform kann Signale aus mehreren Datenquellen speichern und korrelieren und ML-basierte Erkennungen verwenden, um unbekannte verdächtige Aktivitäten zu erkennen.

5.0 Schlussfolgerungen

In diesem Blog haben wir einige Hinweise dazu gegeben, wie SolarWinds gehackt wurde, und DGA-Domänendaten analysiert, die Datenstudie zu betroffenen Domains gezeigt und einige Vorschläge zur Verteidigung gemacht.

Nach oben scrollen