SolarWinds Orion : Attaque de la supply chain

Par Bhabesh Raj Rai, Associate Security Analytics Engineer

Le 13 décembre 2020, la CISA a publié la directive d’urgence 21-01, «Mitiger la compromission du code de SolarWinds Orion» en réponse à l’exploitation des produits SolarWinds Orion qui permettait à un attaquant d’accéder aux systèmes de gestion du trafic réseau. La CISA a conseillé aux agences d’attendre de recevoir de plus amples informations avant d’utiliser les prochains correctifs pour réinstaller le logiciel SolarWinds Orion.

SolarWinds a déclaré dans son avis de sécurité qu’il était en train d’investiguer un incident qui semblait avoir été causé par une attaque très sophistiquée et ciblée, visant la chaîne d’approvisionnement, et lancée manuellement par un État-nation. Le dossier SEC renseigné par SolarWind le 14 décembre indique que moins de 18000 clients ont été touchés par le piratage de la chaîne d’approvisionnement. L’entreprise a également déclaré que la backdoor (porte dérobée) avait été insérée dans les produits Orion et existait aussi dans les mises à jour publiées entre mars et juin. Cette dernière avait été introduite suite à la compromission du système de build logiciel d’Orion. Plus tard, nous avons appris que les pirates avaient déjà effectué un test de type run-back en ajoutant des classes vides en octobre de l’année dernière.

Déconnecter ou éteindre les appareils Orion affectés est la seule mesure de mitigation connue actuellement disponible. La CISA conseille aux agences concernées de réaliser une image post-mortem de la mémoire système et/ou de récupérer les systèmes d’exploitation hébergeant toutes les instances des versions SolarWinds Orion affectées et d’analyser le trafic réseau stocké, à la recherche d’indicateurs de compromission (IoC).

SolarWinds est un système de gestion des réseaux qui surveille tous les systèmes ou appareils au niveau d’un environnement, notamment AD, Office 365, AWS, Azure, ESXi ainsi que les routeurs. La violation est extrêmement intrusive car elle donne aux attaquants un accès privilégié à tous les systèmes mentionnés ci-dessus. Microsoft a déclaré que plus de 40 de ses clients avaient été ciblés par une exploitation plus poussée et l’éditeur a également souligné que la liste des victimes comprenait non seulement des agences gouvernementales, mais aussi des entreprises de sécurité et de technologie ainsi que des ONG, des think-tanks, etc.

Il n’est pas surprenant qu’une menace de type APT ait attaqué une entreprise comme SolarWinds qui a accès à des systèmes critiques et qui est un fournisseur majeur du gouvernement américain. Les attaquants ont inséré une backdoor (porte dérobée) en mars dernier et leur activité n’a été découverte que récemment. Ainsi que dans le pire des cas les attaquants ont très bien pu se cacher au sein de systèmes critiques, notamment ceux liés à des gouvernements et aux télécommunications, volant des données et espionnant des employés depuis des mois.

FireEye et Microsoft ont déjà publié des rapports techniques contenant des instructions sur la manière d’identifier l’activité malveillante au niveau des produits SolarWinds Orion contenant des malwares. FireEye a également publié des IoC pour aider à traquer SUNBURST, leur nomenclature pour ce malware distribué par les produits Orion trojanisés. Des IoC supplémentaires pour SUNBURST provenant d’autres sources sont désormais également disponibles dans GitHub.

Le 14 décembre, Volexity a publié un rapport sur la manière avec laquelle un acteur malveillant, nommé Dark Halo, a exploité cette backdoor SolarWinds pour attaquer un think-tank basé aux États-Unis et voler de manière ciblée les emails d’employés spécifiques. Volexity a noté dans ce rapport que ses investigations étaient directement liées au rapport FireEye sur la base de recoupements entre les domaines C2 ainsi que d’autres indicateurs connexes.

Même avec les meilleurs outils, les entreprises ne peuvent pas complètement empêcher une attaque APT. Lorsqu’une attaque se produit, les entreprises doivent savoir comment utiliser les renseignements sur les menaces disponibles pour détecter les IOC.

Le rapport de FireEye a conseillé aux défenseurs de générer des alertes concernant le chargement de NetSetupSvc.dll par svchost que nous pouvons facilement traquer en utilisant Sysmon.

norm_id=WindowsSysmon label=Image label=Load parent_image="C:\Windows\System32\svchost.exe" image="*NetSetupSvc.dll"

Tout fichier suspect déposé par solarwinds.businesslayerhost.exe indique qu’un attaquant utilise cette backdoor.

norm_id=WindowsSysmon event_id=11 source_image="*\solarwinds.businesslayerhost.exe" file IN ["*.exe","*.ps1","*.jpg","*.png","*.dll"]

Les hachages fournis dans les IoC publiés peuvent être utilisés avec les logs de création de processus de Sysmon à la recherche de correspondances.

norm_id=WindowsSysmon event_id=1 hash IN SOLARWINDS_HASHES

Le 15 décembre, un groupement d’entreprises technologiques a réussi à mettre hors d’état de nuire avsvmcloud[.]com, qui était le premier domaine pingué par le malware après être resté inactif pendant 12 à 14 jours. Les logs de recherche DNS provenant de diverses sources telles que Sysmon, les pare-feu et Cisco Umbrella peuvent être utilisés pour traquer d’éventuelles correspondances lors de la recherche des domaines à partir des IoC.

((norm_id=WindowsSysmon label=DNS label=Query) OR label=DNS) query IN SOLARWINDS_DOMAINS) OR ((device_category=Firewall OR event_category=DNS) domain IN SOLARWINDS_DOMAINS)

Les créations de processus de solarwinds.businesslayerhost.exe peuvent être recherchées pour détecter toute activité malveillante telle que la reproduction de PowerShell.

norm_id=WindowsSysmon event_id=1 parent_image="*\solarwinds.businesslayerhost.exe" -image IN["*\SolarWinds\Orion\ExportToPDFCmd.Exe","*\SolarWinds.Credentials\SolarWinds.Credentials.Orion.WebApi.exe",
"*\SolarWinds\Orion\Topology\SolarWinds.Orion.Topology.Calculator.exe","*\SolarWinds\Orion\Database-Maint.exe",
"*\SolarWinds.Orion.ApiPoller.Service\SolarWinds.Orion.ApiPoller.Service.exe","*\Windows\SysWOW64\WerFault.exe"]

Nous pouvons spécifiquement rechercher les commandes PowerShell encodées exécutées par solarwinds.businesslayerhost.exe.

norm_id=WinServer event_id=4688 parent_image="*\solarwinds.businesslayerhost.exe" image="*\powershell.exe" command IN ["*-ec *", "* -enc*"]

Après avoir obtenu un accès de type backdoor, les attaquants ont utilisé la version renommée ADFind pour l’énumération de domaine, pouvant être détectée en recherchant ses arguments de ligne de commande.

norm_id=WinServer event_id=4688 parent_process="*\cmd.exe" command="* -f (*"

Les IDS/IPS comme Snort ou Suricata peuvent également être utilisés en utilisant les règles des IoC publiés par FireEye.

(norm_id=Snort OR norm_id=SuricataIDS) message IN ["APT.Backdoor.MSIL.SUNBURST", "Backdoor.BEACON"]

LogPoint a déjà publié trois listes : SOLARWINDS_HASHES, SOLARWINDS_DOMAINS, SOLARWINDS_URLS et SOLARWINDS_IPS qui contiennent les IoC publiés par FireEye ainsi que des alertes qui aident à la détection basée sur les IoC et les activités suspectes.

En investiguant le piratage de SolarWinds, il a été découvert que les attaquants avaient également créé un webshell sophistiqué en mémoire, appelée SUPERNOVA, insérée dans la base de code d’Orion. Cependant, l’analyse a permis de conclure qu’il avait été inséré par un autre acteur malveillant sans rapport avec la compromission de la chaîne d’approvisionnement. En utilisant la règle sigma pour SUPERNOVA, nous pouvons facilement créer des détections basées sur les logs du pare-feu, des serveurs proxy, etc.

(url='*logoimagehandler.ashx*clazz*' OR resource='*logoimagehandler.ashx*clazz*')

Alors que les IoC continuent à se déployer, si vous utilisez une version affectée de SolarWinds, partez du principe que vous êtes déjà compromis et activez immédiatement la réponse complète aux incidents. Effectuez d’abord un balayage IoC à l’échelle de l’entreprise à la recherche d’éventuelles correspondances, puis procédez à la traque des menaces avec les hôtes SolarWinds comme vecteur d’infection initial. Assurez-vous également de supprimer temporairement les dossiers d’exclusion liés à Orion au niveau EDR/AV afin que toutes les DLL malveillantes puissent être analysées par ces derniers.

Le piratage de la chaîne d’approvisionnement de SolarWinds est véritablement dévastateur car il donne aux attaquants un large éventail d’accès à presque tous les systèmes de l’environnement. Comme indiqué par FireEye, l’acteur malveillant utilisant cette backdoor disposait d’une sécurité opérationnelle irréprochable et, dans de nombreux cas, utilisait une infrastructure dédiée pour chaque intrusion.

Les attaques APT utilisent des techniques de piratage continues et sophistiquées pour obtenir l’accès souhaité, indiquant ainsi à quel point le piratage de la chaîne d’approvisionnement est précieux pour les attaquants de type État-nation. Les entreprises touchées par cette compromission peuvent bénéficier d’une réponse complète aux incidents en scrutant minutieusement leurs logs à partir du mois de mars dernier. Ainsi, les résultats pourront aider à révéler les réelles motivations de l’acteur malveillant se cachant derrière cette attaque de la chaîne d’approvisionnement.