Av Bhabesh Raj Rai, biträdande säkerhetsanalytiker

Den 13 december 2020 publicerade CISA Emergency Directive 21-01, ”Mitigate SolarWinds Orion Code Compromise”, efter ett intrång i SolarWinds Orion-produkter, som gör att angriparen kommer åt system för hantering av nätverkstrafik. CISA har rått alla organ att vänta på ytterligare information innan de använder några kommande korrigeringar för att återinstallera programmet SolarWinds Orion.

SolarWinds har i sina säkerhetsråd meddelat att de håller på att undersöka vad som tycks vara effekten av ett mycket raffinerat, riktat och manuellt angrepp på försörjningskedjan från en främmande makt. I SolarWinds rapport till SEC 14 december sades färre än 18 000 kunder ha påverkats av angreppet på försörjningskedjan, och bakdörren påstods ha öppnats i Orion-produkterna och funnits i uppdateringar som släpptes mellan mars och juni. Den var möjlig att öppna på grund av att systemet för kompilering av Orion-programvaran hade råkat ut för intrång. Senare visade det sig att hackarna redan hade genomfört ett test genom att lägga till tomma klasser i oktober i fjol.

Den enda kända metoden för att avhjälpa problemet nu är att koppla från och stänga av de smittade Orion-enheterna. CISA råder de organ som har råkat ut för detta att utföra en forensisk avbildning av systemminnet och/eller operativsystemen där alla instanser av de smittade SolarWinds Orion-versionerna finns samt analysera lagrad nätverkstrafik efter intrångsindikationer (IoC).

SolarWinds är ett system för nätverkshantering som övervakar alla system eller enheter i miljön, däribland AD, Office 365, AWS, Azure, ESXi och routrar. Intrånget är extremt allvarligt, eftersom det ger angriparna privilegierad tillgång till de förutnämnda systemen. Microsoft har meddelat att fler än 40 av företagets kunder utsattes för ytterligare intrång och har även visat hur listan med offer inte bara omfattar myndighetsorgan utan även säkerhets- och teknikbolag samt ideella organisationer, tankesmedjor och andra.

Det är inte förvånande att ett avancerat bestående hot (APT) har angripit en leverantör som SolarWinds, som har tillgång till centrala system och är en viktig leverantör till de amerikanska myndigheterna. Angriparna öppnade en bakdörr i mars, och deras aktiviteter upptäcktes först nyligen. Det innebär att angriparna i sämsta fall har lurat inne i centrala system – däribland myndighets- och telekommunikationssystem – i många månader och stulit data och spionerat på medarbetarna.

FireEye och Microsoft har redan publicerat tekniska rapporter med anvisningar om hur man identifierar skadlig aktivitet från angripna SolarWinds Orion-produkter. FireEye har dessutom publicerat intrångsindikationer för att underlätta jaktenpå SUNBURST, deras namn på detta skadliga program som distribueras av trojaniserade Orion-produkter. Fler intrångsindikationer för SUNBURST från andra källor finns nu på GitHub.

Den 14 december publicerade Volexity en rapport om hur den hotaktör som man kallade Dark Halo har utnyttjat bakdörren i SolarWinds för att göra intrång hos en tankesmedja i USA och stjäla e-post från specifika medarbetare. I rapporten anmärkte Volexity att dess utredningar är direkt relaterade till FireEye-rapporten, som bygger på överlapp mellan C2-domäner och andra relaterade indikatorer.

Identifiera intrång i LogPoint med hotunderrättelser

Ingen organisation kan ens med de bästa verktyg helt förhindra angrepp från avancerade bestående hot. När ett angrepp sker behöver de känna till hur de ska använda tillgängliga hotunderrättelser för att upptäcka indikationerna på intrång.
Rådet i FireEyes rapport var att försvararna skulle varna om NetSetupSvc.dll läses in av svchost, vilket är enkelt att undersöka med Sysmon.

norm_id=WindowsSysmon label=Image label=Load parent_image="C:\Windows\System32\svchost.exe" image="*NetSetupSvc.dll"

Alla suspekta filer som hämtas av solarwinds.businesslayerhost.exe är en indikation på att en angripare tar sig in genom bakdörren.

norm_id=WindowsSysmon event_id=11 source_image="*\solarwinds.businesslayerhost.exe" file IN ["*.exe","*.ps1","*.jpg","*.png","*.dll"]

Hashvärden som finns i de publicerade indikationerna på intrång går att använda med Sysmons loggar över skapade processer för matchning.

norm_id=WindowsSysmon event_id=1 hash IN SOLARWINDS_HASHES

Den 15 december lyckades en koalition som bestod av teknikföretag ta över avsvmcloud[.]com, den första domän som det skadliga programmet pingade efter att ha varit overksamt i 12–14 dagar. Loggar med DNS-uppslag från olika källor som Sysmon, brandväggar och Cisco Umbrella går att använda för alla domänuppslagsmatchningar från intrångsindikationer.

((norm_id=WindowsSysmon label=DNS label=Query) OR label=DNS) query IN SOLARWINDS_DOMAINS) OR ((device_category=Firewall OR event_category=DNS) domain IN SOLARWINDS_DOMAINS)

Det går att leta efter processer som solarwinds.businesslayerhost.exe skapar för att identifiera all skadlig aktivitet, t.ex. att PowerShell startas.

norm_id=WindowsSysmon event_id=1 parent_image="*\solarwinds.businesslayerhost.exe" -image IN["*\SolarWinds\Orion\ExportToPDFCmd.Exe","*\SolarWinds.Credentials\SolarWinds.Credentials.Orion.WebApi.exe",
"*\SolarWinds\Orion\Topology\SolarWinds.Orion.Topology.Calculator.exe","*\SolarWinds\Orion\Database-Maint.exe",
"*\SolarWinds.Orion.ApiPoller.Service\SolarWinds.Orion.ApiPoller.Service.exe","*\Windows\SysWOW64\WerFault.exe"]

Vi kan leta specifikt efter kodade PowerShell-kommandon som körs av solarwinds.businesslayerhost.exe

norm_id=WinServer event_id=4688 parent_image="*\solarwinds.businesslayerhost.exe" image="*\powershell.exe" command IN ["*-ec *", "* -enc*"]

Efter att ha öppnat en bakdörr använde angriparna det omdöpta ADFind för domänuppräkning. Detta går att upptäcka genom att söka efter kommandotolksargumenten till programmet.

norm_id=WinServer event_id=4688 parent_process="*\cmd.exe" command="* -f (*"

System för att identifiera eller förhindra intrång som Snort eller Suricata går också att använda med hjälp av regler från FireEyes publicerade intrångsindikationer.

(norm_id=Snort OR norm_id=SuricataIDS) message IN ["APT.Backdoor.MSIL.SUNBURST", "Backdoor.BEACON"]

LogPoint har redan släppt fyra listor, SOLARWINDS_HASHES, SOLARWINDS_DOMAINS,SOLARWINDS_URLS och SOLARWINDS_IPS, som innehåller intrångsindikationer från FireEye samt aviseringar som underlättar identifiering med ledning av intrångsindikationer och suspekt aktivitet.

Under undersökningen av SolarWinds-hacket upptäckte man att angriparna även hade skapat det raffinerade webbskalet SUPERNOVA i minnet och infogat det i Orions kod. Man har dock kommit fram till att det har infogats av en hotaktör som inte hade med det ursprungliga försörjningskedjeintrånget att göra. Vi kan genom att använda sigmaregeln för SUPERNOVA enkelt få fram identifieringsmöjligheter ur loggar från brandväggen, proxyservrar osv.

(url='*logoimagehandler.ashx*clazz*' OR resource='*logoimagehandler.ashx*clazz*')

Inleda en komplett incidentreaktion

Om du använder en version av SolarWinds som har råkat ut för problemet bör du i takt med att fler intrångsindikationer dyker upp förutsätta att du redan har blivit utsatt och omedelbart inleda en komplett incidentreaktion. Börja med att söka efter intrångsindikationer i hela företaget och leta efter matchningar. Fortsätt sedan med att jaga hot med SolarWinds-värdarna som första infektionsanhalt. Glöm inte att temporärt ta bort undantagna mappar som har med Orion att göra från antivirusprogram och system för slutpunktsidentifiering och svar så att de kan söka igenom eventuella skadliga DLL-filer.
Hacket mot SolarWinds i försörjningskedjan är förödande, eftersom det ger angriparna bred åtkomst till nästan alla system i miljön. Som FireEye har konstaterat hade hotaktören som nyttjade bakdörren oklanderlig driftsäkerhet och använde i många fall särskild infrastruktur för varje intrång.
Avancerade bestående hot utnyttjar fortlöpande och raffinerade hackingmetoder för att tränga sig in, och det ger en antydan om hur värdefullt hacket mot försörjningskedjan var för den främmande makten. Organisationer som har råkat ut för intrånget genomgår en komplett incidentreaktion. De tröskar igenom sina loggar från mars och framåt, och resultaten kan avslöja hotaktörens motiv bakom intrånget i försörjningskedjan.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews