13 grudnia 2020 r. Wielu dostawców, takich jak FireEye oraz Microsoft zgłosił nowe zagrożenia ze strony państwowego aktora, który włamał się do SolarWinds, oraz trojanizował aktualizacje oprogramowania biznesowego SolarWinds Orion w celu dystrybucji złośliwego oprogramowania typu backdoor o nazwie SUNBURST. Ze względu na popularność SolarWinds ataki dotknęły wiele agencji rządowych i wiele firm z listy Fortune 500. Pojawił się również w ostatnim Dyrektywa awaryjna CISA 20-01.
Przeanalizowaliśmy zdekodowane domeny DGA z SUNBURST i znaleźliśmy 165 unikalnych domen, na które wpłynęło złośliwe oprogramowanie typu backdoor. Niektóre z nich mogą być ofiarami, a niektóre z nich mogą odnosić się do wykrywania lub analizy zabezpieczeń, takich jak piaskownica. Stwierdziliśmy, że dotknięte domeny obejmują różne typy organizacji (w tym technologie informacyjne, administrację publiczną, edukację, finanse i ubezpieczenia itp.) I należą do 25 różnych krajów (obejmujących wszystkie kontynenty z wyjątkiem Antarktydy).
1.0 Wprowadzenie do kompromisu w łańcuchu dostaw SolarWinds Orion
Jak wspomniano w raporcie FireEye, SolarWinds może zostać zaatakowany przez podmiot zagrażający państwu. Ale który z nich pozostaje tajemnicą. Niektóre artykuły z wiadomościami przypuszczam, że jest to związane z APT29 lub Cosy Bear, rosyjską grupą hakerów, a szczegółowe dowody nie zostały ujawnione.
Zgodnie z ZapiszNaruszenie, Badacz bezpieczeństwa Vinoth Kumar odkrył, że hasło należące do serwera aktualizacji SolarWinds wyciekło do Github od 2018 roku. Nie jest jasne, czy atakujący wykorzystali słabe hasło w atakach, ale pokazuje to słabość pozycji bezpieczeństwa SolarWinds.
W raport złożony przez SolarWinds do SEC, wiadomości e-mail SolarWinds za pośrednictwem usługi Office 365 mogły zostać naruszone i „mogły zapewnić dostęp do innych danych zawartych w narzędziach biurowych firmy”.
SolarWinds powiedział, że aż 18,000 spośród jej znanych klientów mogło zainstalować skażoną wersję swoich produktów Orion.
Algorytm i komunikacja SUNBURST DGA 2.0
Na poziomie sieci najbardziej oczywistymi IOC związanymi z SUNBURST są domeny używane w kanale C2 (Command and Control). Ma silny wzór i naśladuje nazwy hostów w chmurze, np. 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, domena DGA (Domain Generation Algorithm).
Raporty FireEye i Microsoft są jednymi z pierwszych, które zawierają szczegóły techniczne dotyczące szkodliwego oprogramowania typu backdoor SUNBURST. Stamtąd wiemy, że napastnicy wstrzyknęli złośliwą aktualizację SolarWinds-Core-v2019.4.5220-Poprawka5.msp. W aktualizacji szkodliwy składnik to SolarWinds.Orion.Core.BusinessLayer.dll.
Analizując ten plik binarny .NET DLL, różne grupy badawcze (Czerwona Kropla oraz Prevasio) ujawnił pewien poziom szczegółów dotyczących kodowania domen DGA. Ogólna mądrość pokazuje, że domeny mają strukturę:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
$ {region} należy do jednej z czterech wartości:
- eu-zachód-1
- us-zachód-2
- nam wschód-1
- nam wschód-2
$ {GUID} część pochodzi z skrótu informacji na poziomie hosta, więc nie jest łatwo odwracalna.
$ {Encoded_AD_domain} jest przede wszystkim interesujący, odpowiednia wartość w postaci zwykłego tekstu pokazuje, do której domeny należy komputer, poprzez wywołanie interfejsu API .NET:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Zasadniczo interfejs API zwraca nazwę domeny systemu Windows. Dzięki temu możemy dowiedzieć się, do której firmy należy maszyna.
2.1 Dekodowanie zakodowanych domen AD
Wykorzystujemy odkrycia badawcze z Czerwona Kropla oraz Prevasio, na algorytmach dekodowania, aby przywrócić plik $ {Encoded_AD_domain}. Zasadniczo atakujący wykorzystuje dwie różne funkcje dekodowania: jedną jest dostosowaną funkcją BASE32_decode, a drugą jest bardziej dostosowanym szyfrem zastępującym litery, gdy nazwa domeny ma tylko małe litery plus [0_-.]
3.0 Analiza zainfekowanych domen
Zgodnie z Wiadomości CRN, SolarWinds stwierdził, że wśród jego klientów było 425 osób z listy Fortune 500 w USA, dziesięć największych amerykańskich firm telekomunikacyjnych, pięć największych amerykańskich firm księgowych, wszystkie oddziały sił zbrojnych Stanów Zjednoczonych, Pentagon, Departament Stanu, a także setki uniwersytetów i szkół wyższych. na całym świecie.
Aby przeanalizować zainfekowane domeny w ataku SUNBURST Backdoor, zebraliśmy zaobserwowane nazwy hostów dla domen DGA z wielu źródeł. Jest jedno główne źródło Github przez Konsultacje Bambenek, a inne główne źródło znajduje się w Wklej kosz pochodzą od Zetalytics / Zonecruncher.
Dostarczając zakodowane domeny DGA do skryptu dekodującego, otrzymaliśmy listę zdekodowanych nazw domen, które mogły zostać wygenerowane przez ofiary ataku typu backdoor SUNBURST. Następnie podjęliśmy próbę ręcznego zmapowania zdekodowanych nazw domen na nazwy firmy / organizacji za pomocą wyszukiwarki Google. Udało nam się zmapować 165 zdekodowanych nazw domen na nazwę firmy / organizacji.
OŚWIADCZENIE : Nie zweryfikowano, czy wszystkie zdekodowane domeny są prawidłowymi domenami Windows i rzeczywiście należą do ofiar. W dużej mierze opiera się na ludzkiej ocenie. Nasz ręczny formularz mapowania zdekodowanych nazw domen na nazwy firm / organizacji może być niedokładny.
3.1 Rozkład ofiar według kategorii przemysłu
Zauważyliśmy, że firmy / organizacje ofiary działają w różnych branżach. Podzieliliśmy je na różne kategorie na podstawie NAICS (północnoamerykański system klasyfikacji branż) z Biura Spisu Ludności Stanów Zjednoczonych. Ich rozkład według kategorii przedstawiono na Rysunku 1. Z próbek, które mamy, firmy IT, administracja publiczna (np. Rząd) i usługi edukacyjne (np. Uniwersytety) zostały najbardziej dotknięte atakiem typu backdoor SUNBURST.
Rysunek 1: Rozkład ofiar według kategorii przemysłu.
3.2 Rozkład ofiar według kraju
Zaobserwowaliśmy, że przedsiębiorstwa / organizacje ofiary należą do 25 różnych krajów. Ich rozmieszczenie według kontynentów pokazano na rysunku 2. Wpływ ataku ma zasięg ogólnoświatowy.
Rysunek 2: Rozkład ofiar według kontynentów.
Kraje z największą liczbą ofiar to:
| Nazwa kraju | Liczba ofiar |
| United States | 110 |
| Kanada | 13 |
| Izrael | 5 |
| Dania | 5 |
| Australia | 4 |
| Wielka Brytania | 4 |
4.0 Obrona przed SUNBURST dzięki Stellar Cyber Open XDR Platforma
Chociaż SUNBURST jest ukrytym i wyrafinowanym zagrożeniem, pozostawia ważne ślady umożliwiające identyfikację.
Po pierwsze, ważne jest, aby przedsiębiorstwa przechowywały w zabezpieczeniach artefakty i ślady dotyczące ich sieci jezioro danych takie jak Open XDR Platforma Stellar Cyber. Gdy atak jest znany na całym świecie, przedsiębiorstwa mogą szybko sprawdzić wskaźniki w porównaniu z danymi historycznymi, aby dowiedzieć się, czy doszło do ataku. W przypadku zaawansowanych zagrożeń, takich jak SUNBURST, domeny C2 (Command & Control) i adresy IP zazwyczaj stanowią silne sygnały. W przypadku SUNBURST domena C2 charakteryzuje się wzorcem avsvmcloud.com. Przedsiębiorstwa muszą wdrożyć dobre rozwiązanie NTA (NDR), które jest w stanie rejestrować ważne metadane z ruchu DNS i innych ważnych protokołów aplikacji L7. Pozyskiwanie danych za pośrednictwem dzienników DNS jest również pomocne, ale może nie przechwytywać sygnałów, jeśli atakujący korzysta z publicznego systemu DNS, takiego jak Google DNS (8.8.8.8) itp. Ponadto, dzięki zaawansowanym funkcjom wykrywania DGA i innym wykrywaniem anomalii na poziomie sieci przez Stellar Cyber, przedsiębiorstwa mogą wcześniej znaleźć nieznane podejrzane sygnały.
Po drugie, dane telemetryczne punktu końcowego EDR są również bardzo ważne i przydatne, wraz z sygnałami na poziomie sieci, Open XDR Dzięki platformie Stellar Cyber przedsiębiorstwa mogą identyfikować podejrzane ruchy wewnątrz firmy i wykrywać złośliwe oprogramowanie typu SUNBURST, zarówno za pomocą analizy zagrożeń, jak i nieznanych, podejrzanych działań. Platforma Stellar Cyber może przechowywać i korelować sygnały z wielu źródeł danych oraz korzystać z detekcji opartych na uczeniu maszynowym (ML), aby wykrywać nieznane, podejrzane działania.
Wnioski 5.0
Na tym blogu podzieliliśmy się wskazówkami dotyczącymi tego, jak włamano się do SolarWinds i przeanalizowaliśmy dane domeny DGA, przedstawiliśmy badanie danych dotyczących dotkniętych domen, a także przedstawiliśmy kilka sugestii dotyczących obrony.
