Pada tanggal 13 Desember 2020, beberapa vendor seperti FireEye dan Microsoft melaporkan munculnya ancaman dari aktor ancaman negara-bangsa yang membahayakan SolarWinds, dan melakukan trojan terhadap pembaruan perangkat lunak bisnis SolarWinds Orion untuk mendistribusikan malware backdoor yang disebut SUNBURST. Karena popularitas SolarWinds, serangan tersebut telah memengaruhi banyak lembaga pemerintah dan banyak perusahaan Fortune 500. Serangan ini juga muncul dalam Petunjuk Darurat CISA 20-01.
Kami menganalisis domain DGA yang didekode dari SUNBURST dan menemukan 165 domain unik yang terpengaruh oleh malware backdoor. Beberapa di antaranya mungkin menjadi korban, dan beberapa di antaranya mungkin terkait dengan deteksi atau analisis keamanan seperti sandboxing. Kami menemukan domain yang terpengaruh mencakup berbagai jenis organisasi (termasuk teknologi informasi, administrasi publik, pendidikan, keuangan, dan asuransi, dll.) dan milik 25 negara berbeda (mencakup semua benua kecuali Antartika).
1.0 Pendahuluan tentang Kompromi Rantai Pasokan SolarWinds Orion
Seperti disebutkan dalam laporan FireEye, SolarWinds mungkin diserang oleh aktor ancaman negara-bangsa. Namun, aktor mana yang diserang masih menjadi misteri. Beberapa artikel berita Dugaan sementara, hal ini terkait dengan APT29 atau Cozy Bear, kelompok peretas asal Rusia, namun bukti rincinya tidak diungkapkan.
Menurut SimpanPelanggaranPeneliti Keamanan Vinoth Kumar menemukan kata sandi milik server pembaruan SolarWinds telah bocor ke Github sejak 2018. Tidak jelas apakah penyerang telah memanfaatkan kata sandi yang lemah dalam serangan tersebut, tetapi hal ini menunjukkan kelemahan postur keamanan SolarWinds.
Di sebuah laporan yang diajukan oleh SolarWinds kepada SEC, email SolarWinds melalui Office 365 mungkin telah disusupi dan “mungkin telah memberikan akses ke data lain yang terdapat dalam alat produktivitas kantor Perusahaan”.
SolarWinds mengatakan sebanyak 18,000 salah satu pelanggan utamanya mungkin telah memasang versi produk Orion yang tercemar.
2.0 Algoritma dan komunikasi SUNBURST DGA
Pada tingkat jaringan, IOC yang paling jelas terkait dengan SUNBURST adalah domain yang digunakan dalam saluran C2 (Command and Control). Ia hadir dengan pola yang kuat dan meniru nama host cloud, misalnya, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, domain DGA (Algoritma Pembuatan Domain).
Laporan FireEye dan Microsoft merupakan laporan pertama yang memberikan rincian teknis mengenai malware backdoor SUNBURST. Dari situ kita mengetahui, para penyerang menyuntikkan pembaruan berbahaya SolarWinds-Core-v2019.4.5220-Hotfix5.mspDi dalam pembaruan, komponen jahatnya adalah SolarWinds.Orion.Core.BusinessLayer.dll.
Melalui analisis biner .NET DLL ini, berbagai kelompok penelitian (Tetesan Merah dan Pencegahan) mengungkapkan beberapa tingkat detail mengenai bagaimana domain DGA dikodekan. Secara keseluruhan, kearifan menunjukkan bahwa domain mengikuti suatu struktur:
${GUID:16byte}${Domain_AD_yang_dikodekan}.appsync-api.${wilayah}.avsvmcloud.com
The ${wilayah} ada di salah satu dari empat nilai berikut:
- eu-barat-1
- kami-barat-2
- kami-timur-1
- kami-timur-2
The ${GUID} sebagian berasal dari hash informasi tingkat host, sehingga tidak mudah dibalikkan.
The ${domain_AD_yang_dikodekan} sebagian besar menarik, nilai plaintext yang sesuai menunjukkan domain mana yang dimiliki mesin melalui panggilan API .NET:
IPGlobalProperties.GetIPGlobalProperties().NamaDomain
Pada dasarnya API mengembalikan nama Domain Windows. Melalui itu kita dapat mengetahui perusahaan mana yang memiliki mesin tersebut.
2.1 Dekode Domain AD yang Dikodekan
Kami memanfaatkan penemuan penelitian dari Tetesan Merah dan Pencegahan, pada algoritma decoding untuk mengembalikan ${domain_AD_yang_dikodekan}Pada dasarnya, penyerang menggunakan dua fungsi decoding yang berbeda: satu adalah fungsi BASE32_decode yang disesuaikan dan yang lainnya adalah cipher penggantian huruf yang lebih disesuaikan ketika nama domain hanya memiliki huruf kecil ditambah [0_-.]
3.0 Analisis Domain yang Terinfeksi
Menurut berita CRNSolarWinds menyatakan bahwa pelanggannya termasuk 425 dari US Fortune 500, sepuluh perusahaan telekomunikasi AS teratas, lima firma akuntansi AS teratas, semua cabang Militer AS, Pentagon, Departemen Luar Negeri, serta ratusan universitas dan perguruan tinggi di seluruh dunia.
Untuk menganalisis domain yang terinfeksi dalam serangan SUNBURST Backdoor, kami mengumpulkan nama host yang diamati untuk domain DGA dari berbagai sumber. Salah satu sumber utama adalah Github disediakan oleh Konsultasi Bambenek, dan sumber utama lainnya ada di Tempat sampah tempel bersumber dari Zetalytics / Zonecruncher.
Dengan memasukkan domain DGA yang dikodekan ke skrip dekode, kami memperoleh daftar nama domain yang didekodekan, yang mungkin telah dibuat oleh korban serangan pintu belakang SUNBURST. Setelah itu, kami mencoba memetakan nama domain yang didekodekan secara manual ke nama perusahaan/organisasi melalui pencarian Google. Kami dapat memetakan 165 nama domain yang didekodekan ke nama perusahaan/organisasinya.
DISCLAIMER: Belum diverifikasi bahwa semua domain yang didekodekan adalah domain Windows yang valid dan memang milik korban. Hal ini sebagian besar didasarkan pada penilaian manusia. Formulir pemetaan manual kami yang mendekodekan nama domain ke nama perusahaan/organisasi mereka mungkin tidak akurat.
3.1 Distribusi Korban Berdasarkan Kategori Industri
Kami mengamati bahwa perusahaan/organisasi korban tersebar di berbagai jenis industri. Kami mengklasifikasikan mereka ke dalam beberapa kategori berdasarkan NAICS (Sistem Klasifikasi Industri Amerika Utara) dari Biro Sensus Amerika Serikat. Distribusinya menurut kategori ditunjukkan pada Gambar 1. Dari sampel yang kami miliki, perusahaan TI, Administrasi Publik (misalnya, Pemerintah) dan Layanan Pendidikan (misalnya, Universitas) paling banyak terkena dampak serangan pintu belakang SUNBURST.
Gambar 1: Distribusi Korban berdasarkan Kategori Industri.
3.2 Distribusi Korban Berdasarkan Negara
Kami mengamati bahwa perusahaan/organisasi korban berasal dari 25 negara berbeda. Distribusi mereka menurut benua ditunjukkan pada Gambar 2. Dampak serangan ini bersifat global.
Gambar 2: Distribusi Korban Berdasarkan Benua.
Negara-negara dengan korban terbanyak adalah:
| Nama negara | Jumlah Korban |
| Amerika Serikat | 110 |
| Kanada | 13 |
| Israel | 5 |
| Denmark | 5 |
| Australia | 4 |
| Inggris Raya | 4 |
4.0 Pertahanan Terhadap SUNBURST dengan Stellar Cyber Open XDR Platform
Meskipun SUNBURST merupakan ancaman yang tersembunyi dan canggih, ia meninggalkan jejak penting untuk mengidentifikasi dirinya.
Pertama, penting bagi perusahaan untuk menyimpan artefak dan jejak mengenai jaringan mereka ke dalam sistem keamanan. danau data seperti Open XDR platform dari Stellar Cyber. Ketika serangan diketahui di seluruh dunia, perusahaan dapat dengan cepat memeriksa indikator terhadap data historis untuk mengetahui apakah mereka telah diretas. Untuk ancaman canggih seperti SUNBURST, domain C2 (Command & Control) dan alamat IP biasanya merupakan sinyal yang kuat. Khusus untuk SUNBURST, domain C2 memiliki pola sebagai berikut: avsvmcloud.com. Perusahaan perlu menerapkan solusi NTA (NDR) yang baik yang mampu mencatat metadata penting dari lalu lintas DNS dan protokol aplikasi L7 penting lainnya. Pengambilan data melalui log DNS juga membantu, tetapi mungkin tidak menangkap sinyal jika penyerang menggunakan DNS publik seperti Google DNS (8.8.8.8) dll. Selain itu, dengan deteksi DGA tingkat lanjut dan deteksi anomali tingkat jaringan lainnya dari Stellar Cyber, perusahaan dapat menemukan sinyal mencurigakan yang tidak diketahui lebih awal.
Kedua, telemetri titik akhir EDR juga sangat penting dan berguna, bersama dengan sinyal tingkat jaringan, dengan Open XDR Dengan platform dari Stellar Cyber, perusahaan dapat mengidentifikasi pergerakan lateral yang mencurigakan di dalam perusahaan dan mendeteksi malware seperti SUNBURST melalui Threat Intelligence atau aktivitas mencurigakan yang tidak dikenal. Platform Stellar Cyber dapat menyimpan dan mengkorelasikan sinyal dari berbagai sumber data dan memiliki deteksi berbasis ML untuk mendeteksi aktivitas mencurigakan yang tidak dikenal.
5.0 Kesimpulan
Dalam blog ini, kami berbagi beberapa petunjuk tentang bagaimana SolarWinds diretas, dan menganalisis data domain DGA, menunjukkan studi data pada domain yang terkena dampak, serta memberikan beberapa saran tentang pertahanan.
