Supply-Chain-Attacke auf SolarWinds Orion

von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am 13. Dezember 2020 veröffentlichte die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit CISA die Notfalldirektive 21-01 „Mitigate SolarWinds Orion Code Compromise“ als Reaktion auf die Kompromittierung von SolarWinds Orion-Produkten, die es einem Angreifer ermöglichten, Zugriff auf Netzwerk-Traffic-Management-Systeme zu erhalten. Die CISA hat Behörden empfohlen, auf weitere Leitlinien zu warten, bevor sie bevorstehende Patches zur Neuinstallation der SolarWinds Orion-Software verwenden.

Das Unternehmen SolarWinds hat in einer Sicherheitsempfehlung erklärt, den Vorfall zu untersuchen, der das Ergebnis einer hochentwickelten, gezielten und manuellen Supply-Chain-Attacke einer staatlichen Organisation zu sein scheint. In SolarWinds´ SEC-Filing vom 14. Dezember 2020 heißt es, dass weniger als 18.000 Kunden von dem Supply-Chain-Hack betroffen waren. Zudem erklärte das Unternehmen, die Angreifer hätten eine Backdoor in die Orion-Produkte eingefügt, die mit den Updates zwischen März 2020 und Juni 2020 veröffentlicht wurde. Erreicht hätten sie dies durch eine Kompromittierung des Orion-Software-Build-Systems. Später wurde bekannt, dass die Hacker bereits im Oktober des vorangegangenen Jahres einen Testlauf durchgeführt hatten, indem sie leere Klassen hinzugefügt hatten.

Bisherige Methoden zur Bekämpfung der Bedrohung

Die einzige derzeit bekannte Maßnahme zur Schadensbegrenzung ist es, betroffenen Orion-Devices vom Netzwerk zu trennen oder abzuschalten. CISA rät betroffenen Behörden, ein forensisches Image des Systemspeichers und/oder der Betriebssysteme zu erstellen, die die Instanzen der betroffenen SolarWinds Orion-Versionen hosten. Zudem sollten sie den gespeicherten Netzwerkverkehr analysieren und nach Indikatoren für eine Kompromittierung (IoCs, Indicators of Compromise) suchen.

SolarWinds ist ein Netzwerk-Management-System, das alle Systeme oder Geräte in einer IT-Umgebung überwachen kann – einschließlich AD, Office 365, AWS, Azure, ESXi und Router. Diese Sicherheitsverletzung ist extrem gefährlich, da Angreifer privilegierten Zugriff auf alle genannten Systeme erhalten. Microsoft hat erklärt, dass mehr als 40 seiner Kunden für eine weitere Ausnutzung der Schwachstelle ins Visier genommen wurden. Das Unternehmen hat zudem hervorgehoben, dass die Liste der Opfer nicht nur Regierungsbehörden, sondern auch Sicherheits- und Technologiefirmen sowie NGOs, Think Tanks und weitere umfasst.

Es ist keine Überraschung, dass eine APT-Gruppe einen Anbieter wie SolarWinds angegriffen hat, der Zugang zu kritischen Systemen hat und ein wichtiger Auftragnehmer der US-Regierung ist. Die Angreifer fügten im März 2020 eine Backdoor ein und ihre Aktivitäten wurden erst kürzlich aufgedeckt. In einem Worst-Case-Szenario bedeutet dies, dass die Angreifer sich schon seit Monaten in kritischen Systemen von Regierungsbehörden, TK-Anbietern und anderen versteckt hielten, um Daten zu stehlen und Mitarbeiter auszuspionieren.

FireEye und Microsoft haben bereits technische Abhandlungen mit Anweisungen veröffentlicht, wie Unternehmen und Organisationen schadhafte Aktivitäten der von Malware beeinträchtigten SolarWinds Orion-Produkte erkennen können. FireEye hat außerdem IoCs veröffentlicht, die die Suche nach SUNBURST unterstützen – eine Nomenklatur für diese Malware, die durch die „trojanisierte“ Orion-Produkte verbreitet wird. Zusätzliche IoCs für SUNBURST aus anderen Quellen sind jetzt ebenfalls auf GitHub verfügbar.

Am 14. Dezember 2020 veröffentlichte Volexity einen Bericht darüber, wie ein Bedrohungsakteur mit dem Namen Dark Halo diese SolarWinds-Backdoor nutzte, um in einen US-amerikanischen Think Tank einzudringen und gezielt E-Mails von bestimmten Mitarbeitern zu stehlen. Volexity merkte in diesem Bericht an, dass die Untersuchungen des Unternehmens in direktem Zusammenhang mit dem FireEye-Bericht stehen, der auf Überschneidungen von C2-Domänen mit anderen, ähnlichen Indikatoren beruht.

Selbst mit den besten Tools können Unternehmen und Organisationen einen ATP-Angriff nicht immer verhindern. Falls es zu einem Angriff kommt, müssen sie wissen, wie sie die verfügbaren Bedrohungsinformationen nutzen können, um die Indikatoren für eine Kompromittierung (IoCs) zu erkennen.

Der FireEye-Bericht empfiehlt Security-Verantwortlichen, das Laden der Dynamic Link Library „NetSetupSvc.dll“ durch die Systemdatei „svchost.exe“ als verdächtig anzusehen. Mit Sysmon lässt sich dies sehr einfach überwachen.

norm_id=WindowsSysmon label=Image label=Load parent_image="C:WindowsSystem32svchost.exe" image="*NetSetupSvc.dll"

Jeder verdächtige Filedrop (Dateitransfer oder Dateispeicherung) von „solarwinds.businesslayerhost.exe“ ist ein Indikator dafür, dass ein Angreifer die Backdoor nutzt.

norm_id=WindowsSysmon event_id=11 source_image="*solarwinds.businesslayerhost.exe" file IN ["*.exe","*.ps1","*.jpg","*.png","*.dll"]

Die Hash-Werte der veröffentlichten IoCs können mit den Logdaten zur Prozesserzeugung in Sysmon abgeglichen werden.

norm_id=WindowsSysmon event_id=1 hash IN SOLARWINDS_HASHES

Am 15. Dezember gelang es einer Koalition von Technologie-Unternehmen, die Internet-Domain „avsvmcloud[.]com“ zu übernehmen und mit einem Killswitch zu versehen. Dies war die erste Domain, die von der Malware gepingt wurde, nachdem sie 12 bis 14 Tage lang inaktiv war. Security-Teams können mit Sysmon, ihren Firewalls, Cisco Umbrella oder anderen Tools die Logdaten zu DNS-Abfragen nutzen, um nach Übereinstimmungen hinsichtlich der Domain-Abfragen in den IoCs zu suchen.

((norm_id=WindowsSysmon label=DNS label=Query) OR label=DNS) query IN SOLARWINDS_DOMAINS) OR ((device_category=Firewall OR event_category=DNS) domain IN SOLARWINDS_DOMAINS)

Security-Verantwortliche können zudem nach Prozessen suchen, die von „solarwinds.businesslayerhost.exe“ erzeugt werden, um schädliche Aktivitäten zu erkennen, beispielsweise ein erneutes Laden und Ausführen der PowerShell als Kindprozess (Spawning).

norm_id=WindowsSysmon event_id=1 parent_image="*solarwinds.businesslayerhost.exe" -image IN["*SolarWindsOrionExportToPDFCmd.Exe","*SolarWinds.CredentialsSolarWinds.Credentials.Orion.WebApi.exe",
"*SolarWindsOrionTopologySolarWinds.Orion.Topology.Calculator.exe","*SolarWindsOrionDatabase-Maint.exe",
"*SolarWinds.Orion.ApiPoller.ServiceSolarWinds.Orion.ApiPoller.Service.exe","*WindowsSysWOW64WerFault.exe"]

Sie können gezielt nach verschlüsselten PowerShell-Befehlen suchen, die von „solarwinds.businesslayerhost.exe“ ausgeführt werden.

norm_id=WinServer event_id=4688 parent_image="*solarwinds.businesslayerhost.exe" image="*powershell.exe" command IN ["*-ec *", "* -enc*"]

Nachdem sich die Bedrohungsakteure Zugang über die Backdoor verschafft haben, nutzten sie das umbenannte Kommandozeilen-Tool „ADFind“ für die Domain-Auswahl. Dies kann mittels einer Suche nach Befehlszeilenargumenten erkannt werden.

norm_id=WinServer event_id=4688 parent_process="*cmd.exe" command="* -f (*"

Systeme für Intrusion Detection und Intrusion Prevention (IDS/IPS) wie Snort oder Suricata können ebenfalls mit den Regeln der von FireEye veröffentlichten IoCs genutzt werden.

(norm_id=Snort OR norm_id=SuricataIDS) message IN ["APT.Backdoor.MSIL.SUNBURST", "Backdoor.BEACON"]

LogPoint hat bereits drei Listen veröffentlicht: SOLARWINDS_HASHES, SOLARWINDS_DOMAINS,SOLARWINDS_URLS und SOLARWINDS_IPS, die die von FireEye veröffentlichten IoCs sowie Alarme enthalten, die Sie dabei unterstützen, verdächtige Aktivitäten auf Basis der IoCs zu erkennen.

Die Untersuchung des SolarWinds-Hacks ergab auch, dass die Angreifer auch eine ausgeklügelte In-Memory-Webshell namens SUPERNOVA erstellt hatten, die in die Codebasis von Orion eingefügt wurde. Man stellte jedoch fest, dass sie von einem anderen Bedrohungsakteur eingefügt wurde, der nichts mit der Supply-Chain-Kompromittierung zu tun hatte. Mit der Sigma-Regel für SUPERNOVA können Sie auf Basis der Logdaten von Firewalls, Proxy-Servern, etc. Sicherheitsverletzungen sehr einfach erkennen.

(url='*logoimagehandler.ashx*clazz*' OR resource='*logoimagehandler.ashx*clazz*')

Aktuell werden immer mehr IoCs bekannt. Falls Sie eine infizierte Version von SolarWinds verwenden, können Sie davon ausgehen, dass Ihre IT-Umgebung bereits kompromittiert ist. Deshalb sollten Sie Incident Response umgehend aktivieren. Führen Sie zunächst einen unternehmensweiten IoC-Sweep durch, um nach Übereinstimmungen mit den IoCs zu suchen. Suchen Sie dann nach Bedrohungen auf den SolarWinds-Hosts, den ursprünglichen Infektionsvektoren. Stellen Sie zudem sicher, dass Sie Ausschlussordner, die mit Orion im Zusammenhang stehen, vorübergehend aus EDR/AV entfernen, damit alle schadhaften DLLs gescannt werden können.

Der SolarWinds Supply-Chain-Hack ist so verheerend, da er Angreifern einen weitreichenden Zugriff auf fast alle Systeme in der IT-Umgebung ermöglicht. Wie FireEye festgestellt hat, verfügte der Bedrohungsakteur, der die Backdoor nutzte, über einwandfreie operative Sicherheitsmechanismen und nutzte in vielen Fällen eine dedizierte Infrastruktur für die Angriffe.

APT-Gruppen nutzen langfristig angelegte und ausgefeilte Hacking-Techniken, um sich Zugang zu verschaffen. Die lange Zeitspanne des Supply-Chain-Hacks deutet darauf hin, wie wichtig dieser für diese staatlich organisierten Angreifer war. Unternehmen und Organisationen, die von der Kompromittierung betroffen sind, müssen alle Sicherheitsvorfälle prüfen und ihre Logdaten von März vergangenen Jahres an prüfen. Die Ergebnisse könnten dazu beitragen, das Motiv des Bedrohungsakteurs für die Supply-Chain-Kompromittierung aufzudecken.