Af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 13. december 2020 offentliggjorde CISA Emergency Directive 21-01Mitigate SolarWinds Orion Code Compromise” som respons på udnyttelsen af SolarWinds Orion-produkter, der gør det muligt for en angriber at få adgang til systemer til styring af netværkstrafik. CISA har rådet bureauerne til at vente med at bruge kommende patches til at geninstallere SolarWinds Orion-softwaren, indtil de får yderligere vejledning.

SolarWinds har i deres sikkerhedsrådgivning oplyst, at de undersøgte en hændelse, der så ud til at være et resultat af et meget sofistikeret, målrettet og manuelt forsyningskædeangreb fra en nationalstat. I SolarWinds SEC-indberetning fra den 14. december fremgår det, at færre end 18.000 kunder blev berørt af forsyningskædehacket, og at bagdøren blev indsat i Orion-produkterne og var at finde i opdateringer, der blev udsendt mellem marts og juni, og som blev introduceret som følge af en kompromittering af Orions software build-system. Senere blev det kendt, at hackere allerede havde kørt en testkørsel ved at tilføje tomme klasser i oktober sidste år.

Frakobling eller deaktivering af berørte Orion-enheder er den eneste kendte måde at løse problemet på i øjeblikket. CISA råder de berørte bureauer til af kriminaltekniske årsager at afbilde den systemhukommelse og/eller de værtsoperativsystemer, der hoster alle tilfælde af de berørte SolarWinds Orion-versioner, og til at analysere lagret netværkstrafik for tegn på kompromittering (Indicators of Compromise – IoC’er). 

SolarWinds er et netværksstyringssystem, der overvåger alle systemer eller enheder i miljøet, herunder AD, Office 365, AWS, Azure, ESXi og routere. Sikkerhedsbruddet er yderst indgribende, fordi det giver angriberne privilegeret adgang til alle ovennævnte systemer. Microsoft har udtalt, at mere end 40 af deres kunder blev ramt med henblik på yderligere udnyttelse, og fremhævede, hvordan listen over ofre ikke kun omfatter offentlige myndigheder, men også sikkerheds- og teknologivirksomheder samt NGO’er, tænketanke osv.

Det kommer ikke som nogen overraskelse, at en APT angreb en udbyder som SolarWinds, der har adgang til vigtige systemer og er en stor leverandør til den amerikanske regering. Angriberne indførte en bagdør i marts, og deres aktivitet blev først opdaget for nylig, hvilket betyder, at det værst tænkelige scenarie er, at angriberne har spioneret i kritiske systemer, herunder regeringer og telekommunikation, og stjålet data og spioneret medarbejderne i månedsvis.

FireEye og Microsoft har allerede udsendt tekniske rapporter med instruktioner om, hvordan man identificerer skadelige aktiviteter i de malware-ramte SolarWinds Orion-produkter. FireEye har også udgivet IoC’er for at hjælpe med at jage SUNBURST, som er navnet på denne malware, der distribueres af Orion-produkter, der er ramt af trojanske heste. Yderligere IoC’er til SUNBURST fra andre kilder er nu også tilgængelige i GitHub.

Den 14. december offentliggjorde Volexity en rapport om, hvordan en trusselsaktør, som de navngav Dark Halo, udnyttede denne SolarWinds-bagdør til at kompromittere amerikansk-baserede tænketanke og udførte et målrettet tyveri af mail fra bestemte medarbejdere. Volexity bemærkede i denne rapport, at dens undersøgelser er direkte relateret til FireEye-rapporten og baseret på et overlap mellem C2-domæner og andre relaterede indikatorer.

Brug af threat intelligence til at identificere udnyttelse i LogPoint

Selv med de bedste værktøjer kan organisationer ikke helt forhindre et ATP-angreb. Når et angreb finder sted, skal virksomhederne vide, hvordan de skal bruge den tilgængelige threat intelligence til at identificere IOC’erne.

FireEyes rapport anbefalede at advare om indlæsning af NetSetupSvc.dll ved svchost, som vi nemt kan jage ved hjælp af Sysmon.

norm_id=WindowsSysmon label=Image label=Load parent_image="C:WindowsSystem32svchost.exe" image="*NetSetupSvc.dll"

Enhver mistænkelig fil, der slippes af solarwinds.businesslayerhost.exe , er en indikator på en angriber, der bruger bagdøren.

norm_id=WindowsSysmon event_id=11 source_image="*solarwinds.businesslayerhost.exe" file IN ["*.exe","*.ps1","*.jpg","*.png","*.dll"]

Hashes, der findes i de frigivne IoC’er, kan bruges sammen med Sysmons procesoprettelseslogge til at finde matches.

norm_id=WindowsSysmon event_id=1 hash IN SOLARWINDS_HASHES

Den 15. december lykkedes det for en koalition af teknologivirksomheder at belejre og bekæmpe avsvmcloud[.], som var det første domæne, malwaren nåede at pinge efter at have været i dvale i 12-14 dage. DNS-opslagslogge fra forskellige kilder som Sysmon, firewalls og Cisco Umbrella kan bruges til at søge efter domæneopslagsmatch fra IoC’er.

((norm_id=WindowsSysmon label=DNS label=Query) OR label=DNS) query IN SOLARWINDS_DOMAINS) OR ((device_category=Firewall OR event_category=DNS) domain IN SOLARWINDS_DOMAINS)

Der kan søges efter procesoprettelser af solarwinds.businesslayerhost.exe for at registrere enhver skadelig aktivitet som f.eks. oprettelse af PowerShell.

norm_id=WindowsSysmon event_id=1 parent_image="*solarwinds.businesslayerhost.exe" -image IN["*SolarWindsOrionExportToPDFCmd.Exe","*SolarWinds.CredentialsSolarWinds.Credentials.Orion.WebApi.exe",
"*SolarWindsOrionTopologySolarWinds.Orion.Topology.Calculator.exe","*SolarWindsOrionDatabase-Maint.exe",
"*SolarWinds.Orion.ApiPoller.ServiceSolarWinds.Orion.ApiPoller.Service.exe","*WindowsSysWOW64WerFault.exe"]

Vi kan søge efter krypterede PowerShell-kommandoer, der udføres af solarwinds.businesslayerhost.exe

norm_id=WinServer event_id=4688 parent_image="*solarwinds.businesslayerhost.exe" image="*powershell.exe" command IN ["*-ec *", "* -enc*"]

Efter at have fået adgang til bagdøren omdøbte angriberne ADFind til domæneoptælling, hvilket kan registreres ved at søge efter de tilhørende kommandolinjeargumenter.

norm_id=WinServer event_id=4688 parent_process="*cmd.exe" command="* -f (*"

IDS/IPS like Snort or Suricata can also be used by using rules from FireEye’s released IoCs

(norm_id=Snort OR norm_id=SuricataIDS) message IN ["APT.Backdoor.MSIL.SUNBURST", "Backdoor.BEACON"]

LogPoint har allerede frigivet tre lister: SOLARWINDS_HASHES, SOLARWINDS_DOMAINS, SOLARWINDS_URLS og SOLARWINDS_IPS, der indeholder IoC’er, der er frigivet af FireEye, samt alarmer, der hjælper med at identificere på baggrund af IoC’er og mistænkelig aktivitet.

Under undersøgelsen af SolarWinds-hacket opdagede man, at angriberne også havde skabt en sofistikeret webshell i hukommelsen ved navn SUPERNOVA, der var blevet sat ind i Orions kodebase. Det er imidlertid blevet konkluderet, at den skal indsættes af en anden trusselsaktør, som ikke er relateret til kompromitteringen af forsyningskæden. Ved hjælp af sigma-reglen for SUPERNOVA kan vi nemt oprette identifikationer, der er baseret på logge fra Firewall, proxyservere osv.

(url='*logoimagehandler.ashx*clazz*' OR resource='*logoimagehandler.ashx*clazz*')

Aktivér en komplet hændelsesrespons

Hvis du bruger en berørt version af SolarWinds, mens IoC’erne fortsat udrulles, skal du gå ud fra, at du allerede er kompromitteret og straks aktivere fuld hændelsesrespons. Udfør først en IoC-sweep i hele virksomheden for at finde eventuelle match, og fortsæt derefter til threat hunting med SolarWinds’ værter som den første infektionsvektor. Sørg også for at fjerne udeladelsesmapper midlertidigt, der er relateret til Orion, fra EDR/AV, så eventuelle skadelige DLL’er kan blive scannet af dem.

Hacket i SolarWinds’ forsyningskæde er så ødelæggende, fordi det giver angriberne et væld af muligheder for at få adgang til næsten alle systemer i miljøet. Som FireEye har angivet, havde den trusselsaktør, der brugte bagdøren, fred og ro til at udføre handlingen og brugte i mange tilfælde dedikeret infrastruktur pr. indtrængen.

APT’er bruger kontinuerlige og sofistikerede hackingteknikker til at få adgang, hvilket indikerer, hvor værdifuld forsyningskædehacket var for nationalstatsangriberne. Organisationer, der er berørt af kompromitteringen, er i fuld gang med at reagere på hændelser ved at gennemgå deres logge fra marts og fremefter, og resultaterne kan hjælpe med at afsløre trusselsaktørens motiv bag kompromitteringen af forsyningskæden.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser