Il 13 dicembre 2020, più fornitori come FireEye e Microsoft ha segnalato minacce emergenti da un attore di minacce di uno stato nazionale che ha compromesso SolarWinds e ha sottoposto a trojan gli aggiornamenti del software aziendale SolarWinds Orion per distribuire malware backdoor chiamato SUNBURST. A causa della popolarità di SolarWinds, gli attacchi hanno colpito più agenzie governative e molte società Fortune 500. È apparso anche nel recente Direttiva Emergenza CISA 20-01.
Abbiamo analizzato i domini DGA decodificati da SUNBURST e abbiamo trovato 165 domini univoci che erano interessati dal malware backdoor. Alcuni di loro potrebbero essere vittime e alcuni di loro potrebbero riguardare il rilevamento o l'analisi della sicurezza come il sandboxing. Abbiamo scoperto che i domini interessati si estendono su diversi tipi di organizzazioni (tra cui informatica, pubblica amministrazione, istruzione, finanza e assicurazioni, ecc.) E appartengono a 25 paesi diversi (in tutti i continenti tranne l'Antartide).
1.0 Introduzione al compromesso della catena di fornitura di SolarWinds Orion
Come accennato nel rapporto FireEye, SolarWinds potrebbe essere attaccato da un attore di minacce dello stato nazionale. Ma quale rimane un mistero. Alcuni articoli di notizie congettura che sia correlata a APT29 o Cosy Bear, un gruppo di hacker russo, e le prove dettagliate non vengono rivelate.
Secondo SalvaBreach, Il ricercatore di sicurezza Vinoth Kumar ha scoperto che una password che appartiene al server di aggiornamento di SolarWinds è trapelata a Github dal 2018. Non è chiaro se gli aggressori abbiano utilizzato la password debole negli attacchi, ma mostra la debolezza della posizione di sicurezza di SolarWinds.
In un rapporto presentato da SolarWinds alla SEC, le e-mail di SolarWinds tramite Office 365 potrebbero essere state compromesse e "potrebbero aver fornito l'accesso ad altri dati contenuti negli strumenti di produttività dell'ufficio della Società".
SolarWinds ha detto tanti quanti 18,000 dei suoi clienti di alto profilo potrebbe aver installato una versione contaminata dei suoi prodotti Orion.
2.0 SUNBURST DGA algoritmo e comunicazione
A livello di rete, gli IOC più evidenti relativi a SUNBURST sono i domini utilizzati nel canale C2 (Command and Control). Viene fornito con un modello forte e imita i nomi host del cloud, ad es. 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, un dominio DGA (Domain Generation Algorithm).
I rapporti FireEye e Microsoft sono tra i primi a fornire dettagli tecnici sul malware backdoor SUNBURST. Da lì sappiamo, gli aggressori hanno iniettato aggiornamenti dannosi SolarWinds-Core-v2019.4.5220-Hotfix5.msp. All'interno dell'aggiornamento, il componente dannoso è SolarWinds.Orion.Core.BusinessLayer.dll.
Analizzando questo file binario DLL .NET, diversi gruppi di ricerca (Goccia rossa e Prevaso) ha rivelato un certo livello di dettagli su come vengono codificati i domini DGA. La saggezza generale mostra che i domini seguono una struttura:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
. $ {region} è in uno dei quattro valori:
- eu-ovest-1
- noi-ovest-2
- us-est-1
- us-est-2
. $ {GUID} parte proviene da un hash di informazioni a livello di host, quindi non è facilmente reversibile.
. $ {Encoded_AD_domain} è per lo più interessante, il valore di testo in chiaro corrispondente mostra a quale dominio appartiene la macchina tramite la chiamata API .NET:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Essenzialmente l'API restituisce il nome di Windows Domain. In questo modo possiamo scoprire a quale azienda appartiene la macchina.
2.1 Decodificare i domini AD codificati
Sfruttiamo la scoperta della ricerca da Goccia rossa e Prevaso, sugli algoritmi di decodifica per ripristinare il file $ {Encoded_AD_domain}. Fondamentalmente, l'attaccante utilizza due diverse funzioni di decodifica: una è una funzione BASE32_decode personalizzata e un'altra è una cifratura di sostituzione delle lettere più personalizzata quando il nome di dominio ha solo lettere minuscole e [0_-.]
3.0 Analisi dei domini infetti
Secondo Notizie CRN, SolarWinds ha dichiarato che i suoi clienti includevano 425 delle società Fortune 500 degli Stati Uniti, le prime dieci società di telecomunicazioni statunitensi, le prime cinque società di contabilità statunitensi, tutti i rami delle forze armate statunitensi, il Pentagono, il Dipartimento di Stato, nonché centinaia di università e college In tutto il mondo.
Per analizzare i domini infetti nell'attacco SUNBURST Backdoor, abbiamo raccolto i nomi host osservati per i domini DGA da più fonti. Una delle principali fonti è in Github fornito da Consulenza Bambeneke l'altra fonte principale è in Incolla bin provenienza da Zetalitici/Zonecruncher.
Alimentando i domini DGA codificati allo script di decodifica, abbiamo ottenuto un elenco di nomi di dominio decodificati, che potrebbero essere stati generati dalle vittime dell'attacco backdoor SUNBURST. Successivamente, abbiamo tentato di mappare manualmente i nomi di dominio decodificati ai nomi di società / organizzazione tramite la ricerca su Google. Siamo stati in grado di mappare 165 nomi di dominio decodificati al nome della società / organizzazione.
ESCLUSIONE DI RESPONSABILITÀ : Non è stato verificato che tutti i domini decodificati siano domini Windows validi e appartengano effettivamente alle vittime. È in gran parte basato sul giudizio umano. Il nostro modulo di mappatura manuale dai nomi di dominio decodificati ai nomi della loro azienda / organizzazione potrebbe essere impreciso.
3.1 Distribuzione delle vittime per categoria industriale
Abbiamo osservato che le aziende / organizzazioni della vittima si estendono su diversi tipi di industrie. Li abbiamo classificati in diverse categorie in base a NAICS (sistema di classificazione dell'industria nordamericana) dallo United States Census Bureau. La loro distribuzione per categoria è mostrata nella Figura 1. Dagli esempi che abbiamo, le aziende IT, la pubblica amministrazione (ad esempio, il governo) e i servizi di istruzione (ad esempio, le università) sono state le più colpite dall'attacco backdoor SUNBURST.
Figura 1: distribuzione delle vittime per categoria industriale.
3.2 Distribuzione delle vittime per Paese
Abbiamo osservato che le aziende / organizzazioni vittime appartengono a 25 paesi diversi. La loro distribuzione per continente è mostrata nella Figura 2. L'impatto dell'attacco è mondiale.
Figura 2: distribuzione delle vittime per continente.
I principali paesi con la maggior parte delle vittime sono:
| Nome del paese | Conte vittima |
| Stati Uniti | 110 |
| Canada | 13 |
| Israele | 5 |
| Danmark | 5 |
| Australia | 4 |
| Regno Unito | 4 |
4.0 Difesa contro SUNBURST con Stellar Cyber Open XDR piattaforma
Sebbene SUNBURST sia una minaccia furtiva e sofisticata, lascia tracce importanti per identificarsi.
In primo luogo, è importante per le aziende archiviare artefatti e tracce riguardanti le proprie reti in una sicurezza lago dati come l' Open XDR piattaforma di Stellar Cyber. Quando l'attacco è noto, in tutto il mondo, le aziende possono confrontare rapidamente gli indicatori con i dati storici per scoprire se sono stati violati. Per minacce sofisticate come SUNBURST, i domini C2 (Command & Control) e gli indirizzi IP sono solitamente segnali forti. Per SUNBURST in particolare, il dominio C2 presenta un pattern di www.avsvmcloud.com. Le aziende devono implementare una buona soluzione NTA (NDR) in grado di registrare metadati importanti dal traffico di DNS e altri importanti protocolli applicativi L7. Anche l'inserimento dei dati tramite i log DNS è utile, ma potrebbe non acquisire i segnali se l'attaccante utilizza DNS pubblico come Google DNS (8.8.8.8) ecc. Inoltre, con rilevamenti DGA avanzati e altri rilevamenti di anomalie a livello di rete da Stellar Cyber, il le aziende potrebbero trovare prima segnali sospetti sconosciuti.
In secondo luogo, anche i dati telemetrici degli endpoint EDR sono molto importanti e utili, insieme ai segnali a livello di rete, con Open XDR Grazie alla piattaforma Stellar Cyber, le aziende possono identificare movimenti laterali sospetti all'interno dell'azienda e rilevare malware di tipo SUNBURST tramite Threat Intelligence o attività sospette sconosciute. La piattaforma Stellar Cyber può archiviare e correlare segnali provenienti da più fonti di dati e disporre di rilevamenti basati su ML per individuare attività sospette sconosciute.
Conclusioni 5.0
In questo blog, abbiamo condiviso alcuni indizi su come SolarWinds è stato violato e analizzato i dati del dominio DGA, mostrato lo studio dei dati sui domini interessati, oltre a fornire alcuni suggerimenti sulla difesa.
