Em 13 de dezembro de 2020, vários fornecedores, como FireEye e Microsoft relataram ameaças emergentes de um ator de ameaça de estado-nação que comprometeu a SolarWinds e atualizou as atualizações do software comercial SolarWinds Orion para distribuir malware backdoor chamado SUNBURST. Devido à popularidade da SolarWinds, os ataques afetaram várias agências governamentais e muitas empresas da Fortune 500. Também apareceu no recente Diretiva de Emergência CISA 20-01.
Analisamos domínios DGA decodificados do SUNBURST e encontramos 165 domínios exclusivos que foram afetados pelo malware backdoor. Alguns deles podem ser vítimas e alguns deles podem estar relacionados à detecção ou análise de segurança, como sandbox. Descobrimos que os domínios afetados abrangem diferentes tipos de organizações (incluindo tecnologia da informação, administração pública, educação e finanças e seguros, etc.) e pertencem a 25 países diferentes (abrangendo todos os continentes, exceto a Antártica).
1.0 Introdução ao compromisso da cadeia de suprimentos da SolarWinds Orion
Conforme mencionado no relatório FireEye, o SolarWinds pode ser atacado por um ator de ameaça de estado-nação. Mas qual deles permanece um mistério. Alguns artigos de notícias conjectura que está relacionado ao APT29 ou Cozy Bear, um grupo de hackers russo, e as evidências detalhadas não são reveladas.
De acordo com as Salvar Violação, O pesquisador de segurança Vinoth Kumar descobriu que uma senha que pertence ao servidor de atualização da SolarWinds vazou para o Github desde 2018. Não está claro se os invasores utilizaram a senha fraca nos ataques, mas mostra a fraqueza da postura de segurança da SolarWinds.
Em um artigo do relatório apresentado por SolarWinds para a SEC, os e-mails da SolarWinds por meio do Office 365 podem ter sido comprometidos e “podem ter fornecido acesso a outros dados contidos nas ferramentas de produtividade de escritório da empresa”.
SolarWinds disse que tanto quanto 18,000 de seus clientes de alto perfil podem ter instalado uma versão contaminada de seus produtos Orion.
2.0 algoritmo SUNBURST DGA e comunicação
No nível da rede, os IOCs mais óbvios relacionados ao SUNBURST são os domínios usados no canal C2 (Comando e Controle). Ele vem com um padrão forte e imita nomes de host em nuvem, por exemplo, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, um domínio DGA (Domain Generation Algorithm).
Os relatórios FireEye e Microsoft estão entre os primeiros a fornecer detalhes técnicos sobre o malware backdoor SUNBURST. A partir daí, sabemos, os atacantes injetaram atualização maliciosa SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Dentro da atualização, o componente malicioso é SolarWinds.Orion.Core.BusinessLayer.dll.
Através da análise deste binário .NET DLL, diferentes grupos de pesquisa (RedDripName e Prevasio) revelou algum nível de detalhes sobre como os domínios DGA são codificados. A sabedoria geral mostra que os domínios seguem uma estrutura:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
O $ {region} está em um dos quatro valores:
- eu-oeste-1
- nós-oeste-2
- us-leste-1
- us-leste-2
O $ {GUID} parte vem de um hash de informações no nível do host, portanto, não é facilmente reversível.
O $ {Encoded_AD_domain} é mais interessante, o valor de texto simples correspondente mostra a qual domínio a máquina pertence por meio da chamada da API .NET:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Basicamente, a API retorna o nome do domínio do Windows. Através dela podemos descobrir a que empresa pertence a máquina.
2.1 Decodificar domínios AD codificados
Aproveitamos a descoberta da pesquisa de RedDripName e Prevasio, nos algoritmos de decodificação para restaurar o $ {Encoded_AD_domain}. Basicamente, o invasor emprega duas funções de decodificação diferentes: uma é uma função BASE32_decode personalizada e outra é uma cifra de substituição de letra mais personalizada quando o nome de domínio tem apenas letras minúsculas e [0_-.]
3.0 Análise de domínios infectados
De acordo com as Notícias CRN, SolarWinds declarou que seus clientes incluíam 425 das US Fortune 500, as dez maiores empresas de telecomunicações dos Estados Unidos, as cinco maiores firmas de contabilidade dos Estados Unidos, todas as filiais das Forças Armadas dos Estados Unidos, o Pentágono, o Departamento de Estado, bem como centenas de universidades e faculdades no mundo todo.
Para analisar domínios infectados no ataque SUNBURST Backdoor, coletamos nomes de host observados para os domínios DGA de várias fontes. Uma das principais fontes está em Github fornecido por Consultoria Bambenek, e a outra fonte principal está em Lixeira proveniente de Zetalíticos / Zonecruncher.
Ao alimentar os domínios DGA codificados para o script de decodificação, obtivemos uma lista de nomes de domínio decodificados, que poderiam ter sido gerados pelas vítimas do ataque backdoor SUNBURST. Em seguida, tentamos mapear manualmente os nomes de domínio decodificados para os nomes da empresa / organização por meio da pesquisa do Google. Conseguimos mapear 165 nomes de domínio decodificados para o nome de sua empresa / organização.
AVISO LEGAL : Não foi verificado se todos os domínios decodificados são domínios válidos do Windows e, de fato, pertencem às vítimas. É amplamente baseado no julgamento humano. Nosso formulário de mapeamento manual de nomes de domínio decodificados para seus nomes de empresa / organização pode ser impreciso.
3.1 Distribuição de vítimas por categoria de indústria
Observamos que as empresas / organizações vítimas abrangem diferentes tipos de indústrias. Nós os classificamos em diferentes categorias com base no NAICS (Sistema de Classificação da Indústria da América do Norte) do Censo dos Estados Unidos. Sua distribuição por categoria é mostrada na Figura 1. Das amostras que temos, empresas de TI, Administração Pública (por exemplo, Governo) e Serviços de Educação (por exemplo, Universidades) foram os mais afetados pelo ataque de backdoor SUNBURST.
Figura 1: Distribuição das vítimas por categoria de setor.
3.2 Distribuição de vítimas por país
Observamos que as empresas / organizações vítimas pertencem a 25 países diferentes. Sua distribuição por continente é mostrada na Figura 2. O impacto do ataque é mundial.
Figura 2: Distribuição das vítimas por continente.
Os principais países com mais vítimas são:
| Nome País | Contagem de vítimas |
| Estados Unidos | 110 |
| Canadá | 13 |
| Israel | 5 |
| Dinamarca | 5 |
| Australia | 4 |
| Reino Unido | 4 |
4.0 Defesa contra SUNBURST com a Stellar Cyber Open XDR plataforma
Embora o SUNBURST seja uma ameaça furtiva e sofisticada, ele deixa rastros importantes para se identificar.
Em primeiro lugar, é importante que as empresas armazenem artefatos e rastreamentos relacionados às suas redes em um sistema de segurança data lake tais como o Open XDR Plataforma da Stellar Cyber. Quando o ataque é conhecido, empresas do mundo todo podem verificar rapidamente os indicadores em relação aos dados históricos para descobrir se foram comprometidas. Para ameaças sofisticadas como o SUNBURST, os domínios de C2 (Comando e Controle) e os endereços IP geralmente são fortes indícios. No caso específico do SUNBURST, o domínio de C2 apresenta um padrão de avsvmcloud. com. As empresas precisam implantar uma boa solução NTA (NDR) que seja capaz de registrar metadados importantes do tráfego de DNS e de outros protocolos de aplicativos L7 importantes. A ingestão de dados por meio de registros de DNS também é útil, mas pode não capturar os sinais se o invasor utilizar DNS público, como Google DNS (8.8.8.8) etc. Além disso, com detecções de DGA avançadas e outras detecções de anomalias de nível de rede do Stellar Cyber, o as empresas podem encontrar sinais suspeitos desconhecidos mais cedo.
Em segundo lugar, as telemetrias do endpoint EDR também são muito importantes e úteis, juntamente com os sinais de nível de rede, com o Open XDR Com a plataforma da Stellar Cyber, as empresas podem identificar movimentações laterais suspeitas dentro da organização e detectar malwares como o SUNBURST por meio de Inteligência de Ameaças ou atividades suspeitas desconhecidas. A plataforma da Stellar Cyber consegue armazenar e correlacionar sinais de múltiplas fontes de dados e possui detecções baseadas em aprendizado de máquina para identificar atividades suspeitas desconhecidas.
Conclusões 5.0
Neste blog, compartilhamos algumas dicas sobre como o SolarWinds foi hackeado e analisamos os dados do domínio DGA, mostramos o estudo de dados sobre os domínios afetados, bem como fornecemos algumas sugestões sobre defesa.
