Vào ngày 13 tháng 2020 năm XNUMX, nhiều nhà cung cấp như Ánh mắt rực lửa và microsoft đã báo cáo các mối đe dọa đang nổi lên từ một kẻ đe dọa quốc gia, kẻ đã xâm phạm SolarWinds và trojanized các bản cập nhật phần mềm kinh doanh SolarWinds Orion để phát tán phần mềm độc hại có tên là SUNBURST. Do sự phổ biến của SolarWinds, các cuộc tấn công đã ảnh hưởng đến nhiều cơ quan chính phủ và nhiều công ty trong danh sách Fortune 500. Nó cũng xuất hiện trong Chỉ thị Khẩn cấp CISA 20-01.
Chúng tôi đã phân tích các miền DGA được giải mã từ SUNBURST và tìm thấy 165 miền duy nhất bị ảnh hưởng bởi phần mềm độc hại backdoor. Một số người trong số họ có thể là nạn nhân và một số người trong số họ có thể liên quan đến phát hiện hoặc phân tích bảo mật như hộp cát. Chúng tôi nhận thấy các miền bị ảnh hưởng trải dài trên các loại tổ chức khác nhau (bao gồm công nghệ thông tin, hành chính công, giáo dục và tài chính và bảo hiểm, v.v.) và thuộc 25 quốc gia khác nhau (trải dài đến tất cả các lục địa ngoại trừ Nam Cực).
1.0 Giới thiệu về Thỏa hiệp chuỗi cung ứng của SolarWinds Orion
Như đã đề cập trong báo cáo FireEye, SolarWinds có thể bị tấn công bởi một kẻ đe dọa quốc gia-nhà nước. Nhưng cái nào vẫn còn là một bí ẩn. Một số bài báo phỏng đoán nó có liên quan đến APT29 hoặc Cozy Bear, một nhóm hacker của Nga, và bằng chứng chi tiết không được tiết lộ.
Theo Lưu Vi phạm, Nhà nghiên cứu bảo mật Vinoth Kumar đã phát hiện ra một mật khẩu thuộc về máy chủ cập nhật SolarWinds đã bị rò rỉ lên Github từ năm 2018. Không rõ liệu những kẻ tấn công có sử dụng mật khẩu yếu trong các cuộc tấn công hay không, nhưng nó cho thấy sự yếu kém của tư thế bảo mật SolarWinds.
Trong một báo cáo do SolarWinds đệ trình với SEC, các email của SolarWinds thông qua Office 365 có thể đã bị xâm phạm và “có thể đã cung cấp quyền truy cập vào dữ liệu khác có trong các công cụ năng suất văn phòng của Công ty.”.
SolarWinds cho biết càng nhiều 18,000 những khách hàng nổi tiếng của họ có thể đã cài đặt một phiên bản bị ô nhiễm của các sản phẩm Orion của họ.
2.0 Thuật toán DGA SUNBURST và giao tiếp
Ở cấp độ mạng, các IOC rõ ràng nhất liên quan đến SUNBURST là các miền được sử dụng trong kênh C2 (Lệnh và Điều khiển). Nó đi kèm với một mô hình mạnh mẽ và bắt chước tên máy chủ lưu trữ đám mây, ví dụ: 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, miền DGA (Thuật toán tạo miền).
Báo cáo của FireEye và Microsoft là một trong những báo cáo đầu tiên cung cấp chi tiết kỹ thuật liên quan đến phần mềm độc hại cửa hậu SUNBURST. Từ đó, chúng tôi biết, những kẻ tấn công đã đưa vào bản cập nhật độc hại SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Bên trong bản cập nhật, thành phần độc hại là SolarWinds.Orion.Core.BusinessLayer.dll.
Thông qua việc phân tích tệp nhị phân .NET DLL này, các nhóm nghiên cứu khác nhau (Màu ĐỏGiọt Nước và phổ biến) tiết lộ một số mức độ chi tiết về cách các miền DGA được mã hóa. Sự khôn ngoan tổng thể cho thấy rằng các miền tuân theo một cấu trúc:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Region} .avsvmcloud.com
$ {vùng} nằm trong một trong bốn giá trị:
- eu-tây-1
- ta-tây-2
- us-East-1
- us-East-2
$ {GUID} một phần đến từ một mã băm của thông tin cấp máy chủ, vì vậy nó không thể đảo ngược dễ dàng.
$ {Encoded_AD_domain} phần lớn là thú vị, giá trị bản rõ tương ứng cho biết máy thuộc miền nào thông qua lệnh gọi .NET API:
IPGlobalProperties.GetIPGlobalProperties (). Tên miền
Về cơ bản, API trả về tên của Windows Domain. Thông qua đó chúng ta có thể phát hiện ra chiếc máy đó thuộc công ty nào.
2.1 Giải mã miền quảng cáo được mã hóa
Chúng tôi tận dụng khám phá nghiên cứu từ Màu ĐỏGiọt Nước và phổ biến, về các thuật toán giải mã để khôi phục $ {Encoded_AD_domain}. Về cơ bản, kẻ tấn công sử dụng hai chức năng giải mã khác nhau: một là chức năng BASE32_decode tùy chỉnh và một chức năng khác là mật mã thay thế chữ cái được tùy chỉnh hơn khi tên miền chỉ có các chữ thường. [0_-.]
Phân tích miền bị nhiễm 3.0
Theo Tin tức CRN, SolarWinds cho biết khách hàng của họ bao gồm 425 trong số 500 công ty hàng đầu của Mỹ, XNUMX công ty viễn thông hàng đầu của Mỹ, XNUMX công ty kế toán hàng đầu của Mỹ, tất cả các chi nhánh của Quân đội Mỹ, Lầu Năm Góc, Bộ Ngoại giao, cũng như hàng trăm trường đại học và cao đẳng. trên toàn thế giới.
Để phân tích các miền bị nhiễm trong cuộc tấn công SUNBURST Backdoor, chúng tôi đã thu thập các tên máy chủ được quan sát cho các miền DGA từ nhiều nguồn. Một nguồn chính là trong Github được cung cấp bởi Tư vấn Bambenekvà nguồn chính khác ở Dán thùng có nguồn gốc từ Zetalytics / Zonecruncher.
Bằng cách cung cấp các miền DGA được mã hóa cho tập lệnh giải mã, chúng tôi đã có được danh sách các tên miền đã được giải mã, có thể được tạo bởi các nạn nhân của cuộc tấn công cửa hậu SUNBURST. Sau đó, chúng tôi đã cố gắng ánh xạ thủ công các tên miền được giải mã với tên công ty / tổ chức thông qua tìm kiếm của Google. Chúng tôi đã có thể ánh xạ 165 tên miền đã giải mã thành tên công ty / tổ chức của nó.
KHUYẾN CÁO: Chưa xác minh được rằng tất cả các miền được giải mã là miền Windows hợp lệ và thực sự thuộc về các nạn nhân. Nó phần lớn dựa trên phán đoán của con người. Biểu mẫu ánh xạ thủ công của chúng tôi đã giải mã tên miền thành tên công ty / tổ chức của họ có thể không chính xác.
3.1 Phân bố nạn nhân theo ngành nghề
Chúng tôi quan sát thấy rằng các công ty / tổ chức nạn nhân trải dài trên nhiều loại ngành khác nhau. Chúng tôi đã phân loại chúng thành các danh mục khác nhau dựa trên NAICS (Hệ thống phân loại ngành công nghiệp Bắc Mỹ) từ Cục điều tra dân số Hoa Kỳ. Sự phân bố của chúng theo danh mục được thể hiện trong Hình 1. Từ các mẫu chúng tôi có, các công ty CNTT, Hành chính công (ví dụ: Chính phủ) và Dịch vụ Giáo dục (ví dụ: các trường Đại học) bị ảnh hưởng nhiều nhất bởi cuộc tấn công cửa hậu SUNBURST.
Hình 1: Phân bố nạn nhân theo loại ngành.
3.2 Phân bố nạn nhân theo quốc gia
Chúng tôi quan sát thấy rằng các công ty / tổ chức nạn nhân thuộc 25 quốc gia khác nhau. Sự phân bố của chúng theo châu lục được thể hiện trong Hình 2. Ảnh hưởng của cuộc tấn công là trên toàn thế giới.
Hình 2: Phân bố nạn nhân theo châu lục.
Các quốc gia có nhiều nạn nhân nhất là:
| Tên nước | Số nạn nhân |
| Hoa Kỳ | 110 |
| Canada | 13 |
| Israel | 5 |
| Đan mạch | 5 |
| Châu Úc | 4 |
| Anh | 4 |
4.0 Phòng thủ chống lại SUNBURST với Stellar Cyber Open XDR nền tảng
Mặc dù SUNBURST là một mối đe dọa lén lút và tinh vi, nhưng nó vẫn để lại những dấu vết quan trọng để xác định chính nó.
Đầu tiên, điều quan trọng là các doanh nghiệp phải lưu trữ các hiện vật và dấu vết liên quan đến mạng của họ thành một bảo mật hồ dữ liệu chẳng hạn như Open XDR Nền tảng từ Stellar Cyber. Khi cuộc tấn công được phát hiện, các doanh nghiệp trên toàn thế giới có thể nhanh chóng kiểm tra các chỉ số so với dữ liệu lịch sử để xác định xem họ có bị xâm phạm hay không. Đối với các mối đe dọa tinh vi như SUNBURST, tên miền C2 (Command & Control) và địa chỉ IP thường là những tín hiệu mạnh. Riêng đối với SUNBURST, tên miền C2 có một mô hình như sau: avsvmcloud.com. Doanh nghiệp cần triển khai một giải pháp NTA (NDR) tốt có khả năng ghi lại siêu dữ liệu quan trọng từ lưu lượng của DNS và các giao thức ứng dụng L7 quan trọng khác. Việc nhập dữ liệu thông qua nhật ký DNS cũng hữu ích, nhưng nó có thể không nắm bắt được tín hiệu nếu kẻ tấn công sử dụng DNS công cộng như Google DNS (8.8.8.8), v.v. Hơn nữa, với tính năng phát hiện DGA nâng cao và các phát hiện bất thường cấp độ mạng khác từ Stellar Cyber, doanh nghiệp có thể phát hiện ra các tín hiệu đáng ngờ chưa biết sớm hơn.
Thứ hai, dữ liệu đo từ xa của thiết bị đầu cuối EDR cũng rất quan trọng và hữu ích, cùng với các tín hiệu cấp mạng, với Open XDR Với nền tảng từ Stellar Cyber, các doanh nghiệp có thể xác định các hoạt động xâm nhập trái phép trong nội bộ công ty và phát hiện phần mềm độc hại kiểu SUNBURST thông qua cả thông tin tình báo về mối đe dọa hoặc các hoạt động đáng ngờ chưa biết. Nền tảng Stellar Cyber có thể lưu trữ và đối chiếu các tín hiệu từ nhiều nguồn dữ liệu và có khả năng phát hiện dựa trên học máy để phát hiện các hoạt động đáng ngờ chưa biết.
5.0 Kết luận
Trong blog này, chúng tôi đã chia sẻ một số manh mối về cách SolarWinds bị tấn công và phân tích dữ liệu miền DGA, cho thấy nghiên cứu dữ liệu về các miền bị ảnh hưởng, cũng như đưa ra một số đề xuất về cách phòng thủ.
