Le 13 décembre 2020, plusieurs fournisseurs tels que FireEye et Microsoft ont signalé des menaces émergentes d'un acteur de la menace d'un État-nation qui a compromis SolarWinds, et a mis à jour le logiciel de Troie SolarWinds Orion afin de distribuer un malware de porte dérobée appelé SUNBURST. En raison de la popularité de SolarWinds, les attaques ont affecté plusieurs agences gouvernementales et de nombreuses entreprises Fortune 500. Il est également apparu dans le récent Directive d'urgence 20-01 de la CISA.
Nous avons analysé les domaines DGA décodés de SUNBURST et avons trouvé 165 domaines uniques affectés par le malware de porte dérobée. Certains d'entre eux peuvent être des victimes et certains d'entre eux peuvent être liés à la détection ou à l'analyse de la sécurité, comme le sandboxing. Nous avons constaté que les domaines concernés couvrent différents types d'organisations (y compris les technologies de l'information, l'administration publique, l'éducation, la finance et les assurances, etc.) et appartiennent à 25 pays différents (couvrant tous les continents à l'exception de l'Antarctique).
1.0 Introduction à SolarWinds Orion Supply Chain Compromise
Comme mentionné dans le rapport FireEye, les SolarWinds pourraient être attaqués par un acteur de la menace d'un État-nation. Mais lequel reste un mystère. Quelques articles de presse conjecture, il est lié à APT29 ou Cozy Bear, un groupe de hackers russe, et les preuves détaillées ne sont pas révélées.
Selon Enregistrer, Le chercheur en sécurité Vinoth Kumar a découvert qu'un mot de passe appartenant au serveur de mise à jour de SolarWinds a été divulgué à Github depuis 2018. On ne sait pas si les attaquants ont utilisé le mot de passe faible dans les attaques, mais cela montre la faiblesse de la posture de sécurité de SolarWinds.
Dans une rapport déposé par SolarWinds à la SEC, les e-mails de SolarWinds via Office 365 peuvent avoir été compromis et «peuvent avoir donné accès à d'autres données contenues dans les outils de productivité bureautique de la société».
SolarWinds en a dit autant que 18,000 de ses clients de haut niveau ont peut-être installé une version corrompue de ses produits Orion.
2.0 Algorithme et communication SUNBURST DGA
Au niveau du réseau, les IOC les plus évidents liés à SUNBURST sont les domaines utilisés dans le canal C2 (Command and Control). Il est livré avec un modèle fort et imite les noms d'hôte cloud, par exemple, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, un domaine DGA (Domain Generation Algorithm).
Les rapports FireEye et Microsoft sont parmi les premiers à fournir des détails techniques concernant le malware de porte dérobée SUNBURST. À partir de là, nous le savons, les attaquants ont injecté une mise à jour malveillante SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Dans la mise à jour, le composant malveillant est SolarWinds.Orion.Core.BusinessLayer.dll.
En analysant ce binaire DLL .NET, différents groupes de recherche (RougeGoutte et Prévasio) a révélé un certain niveau de détails sur la façon dont les domaines DGA sont codés. La sagesse générale montre que les domaines suivent une structure:
$ {GUID: 16 octets} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
L'espace $ {region} est dans l'une des quatre valeurs:
- eu-ouest-1
- nous-ouest 2
- nous-est-1
- nous-est-2
L'espace $ {GUID} une partie provient d'un hachage d'informations au niveau de l'hôte, il n'est donc pas facilement réversible.
L'espace $ {Encoded_AD_domain} est surtout intéressant, la valeur en clair correspondant montre à quel domaine appartient la machine via l'appel d'API .NET:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Essentiellement, l'API renvoie le nom du domaine Windows. Grâce à cela, nous pouvons découvrir à quelle entreprise appartient la machine.
2.1 Décoder les domaines AD encodés
Nous tirons parti des découvertes issues de la recherche RougeGoutte et Prévasio, sur les algorithmes de décodage pour restaurer le $ {Encoded_AD_domain}. Fondamentalement, l'attaquant utilise deux fonctions de décodage différentes: l'une est une fonction BASE32_decode personnalisée et l'autre est un chiffrement de remplacement de lettre plus personnalisé lorsque le nom de domaine n'a que des minuscules plus [0_-.]
3.0 Analyse des domaines infectés
Selon Actualités CRN, SolarWinds a déclaré que ses clients comprenaient 425 des États-Unis Fortune 500, les dix premières entreprises de télécommunications américaines, les cinq premiers cabinets comptables américains, toutes les branches de l'armée américaine, le Pentagone, le Département d'État, ainsi que des centaines d'universités et de collèges. à l'échelle mondiale.
Pour analyser les domaines infectés lors de l'attaque SUNBURST Backdoor, nous avons collecté les noms d'hôte observés pour les domaines DGA à partir de plusieurs sources. Une source majeure est dans Github fourni par Conseil Bambenek, et l'autre source majeure est dans Coller le bac provenant de Zetalytics / Zonecruncher.
En alimentant les domaines DGA encodés dans le script de décodage, nous avons obtenu une liste de noms de domaine décodés, qui auraient pu être générés par les victimes de l'attaque de porte dérobée SUNBURST. Par la suite, nous avons tenté de mapper manuellement les noms de domaine décodés aux noms de société / organisation via la recherche Google. Nous avons pu mapper 165 noms de domaine décodés à son nom de société / organisation.
AVIS DE NON-RESPONSABILITE: Il n'a pas été vérifié que tous les domaines décodés sont des domaines Windows valides et appartiennent bien aux victimes. Il repose en grande partie sur le jugement humain. Notre formulaire de mappage manuel des noms de domaine décodés avec les noms de leur entreprise / organisation peut être inexact.
3.1 Répartition des victimes par catégorie d'industrie
Nous avons observé que les entreprises / organisations victimes couvrent différents types d'industries. Nous les avons classés en différentes catégories en fonction du SCIAN (Système de classification des industries de l'Amérique du Nord) du Bureau du recensement des États-Unis. Leur répartition par catégorie est illustrée à la figure 1. D'après les échantillons dont nous disposons, les sociétés informatiques, l'administration publique (par exemple, le gouvernement) et les services d'enseignement (par exemple, les universités) ont été les plus touchés par l'attaque de porte dérobée SUNBURST.
Figure 1: Répartition des victimes par catégorie d'industrie.
3.2 Répartition des victimes par pays
Nous avons observé que les entreprises / organisations victimes appartiennent à 25 pays différents. Leur répartition par continent est illustrée à la figure 2. L'impact de l'attaque est mondial.
Figure 2: Répartition des victimes par continent.
Les principaux pays avec le plus de victimes sont:
| Nom du pays | Décompte des victimes |
| États-Unis | 110 |
| Canada | 13 |
| Israël | 5 |
| Danemark | 5 |
| Australie | 4 |
| Royaume-Uni | 4 |
4.0 Défense contre SUNBURST avec Stellar Cyber Open XDR
Bien que SUNBURST soit une menace furtive et sophistiquée, il laisse des traces importantes pour s'identifier.
Premièrement, il est important pour les entreprises de stocker des artefacts et des traces concernant leurs réseaux dans une sécurité lac de données tels que la Open XDR La plateforme de Stellar Cyber permet, lorsqu'une attaque est détectée, aux entreprises du monde entier de comparer rapidement les indicateurs avec les données historiques afin de déterminer si elles ont été compromises. Pour les menaces sophistiquées comme SUNBURST, les domaines et adresses IP C2 (Commande et Contrôle) constituent généralement des signaux importants. Dans le cas de SUNBURST en particulier, le domaine C2 présente un schéma de avsvmcloud.com. Les entreprises doivent déployer une bonne solution NTA (NDR) capable d'enregistrer des métadonnées importantes à partir du trafic DNS et d'autres protocoles d'application L7 importants. L'ingestion de données via les journaux DNS est également utile, mais elle peut ne pas capturer les signaux si l'attaquant utilise un DNS public tel que Google DNS (8.8.8.8), etc. De plus, avec des détections DGA avancées et d'autres détections d'anomalies au niveau du réseau de Stellar Cyber, le les entreprises peuvent détecter plus tôt des signaux suspects inconnus.
Deuxièmement, les données télémétriques des terminaux EDR sont également très importantes et utiles, de même que les signaux au niveau du réseau. Open XDR Grâce à la plateforme Stellar Cyber, les entreprises peuvent identifier les mouvements latéraux suspects en interne et détecter les logiciels malveillants de type SUNBURST, que ce soit par le biais du renseignement sur les menaces ou d'activités suspectes inconnues. La plateforme Stellar Cyber stocke et corrèle les signaux provenant de multiples sources de données et utilise l'apprentissage automatique pour détecter les activités suspectes inconnues.
5.0 Conclusions
Dans ce blog, nous avons partagé quelques indices sur la façon dont SolarWinds a été piraté, et analysé les données du domaine DGA, montré l'étude des données sur les domaines affectés, ainsi que quelques suggestions sur la défense.
