SolarWinds dan pintu belakang SUNBURST: apa yang ada di dalam kampanye APT ini

Bayangkan setiap orang yang memiliki speaker pintar Amazon Echo di rumah (Yandex Alice, Maroussia - pengganti yang cocok) akan tahu bahwa selama 6 bulan terakhir ini dia telah membuka kunci rumah mereka dan membiarkan pencuri masuk. Bagaimana Anda bisa merasa aman sekarang jika penyusup dapat membuat salinan kunci, dokumen, media penyimpanan Anda, atau, misalnya, meracuni sistem pasokan air?



Ini adalah situasi saat ini bagi ribuan organisasi yang terkena dampak serangan malware Sunburst pada rantai pasokan perangkat lunak SolarWinds. Perusahaan yang terkena dampak putus asa mencari tanda-tanda kompromi, melakukan audit keamanan infrastruktur yang tidak terjadwal, dan beberapa bahkan mungkin menangguhkan sejumlah layanan sambil menunggu penyelidikan.



Pada 8 Desember, FireEye mengumumkan bahwa itu telah diretas dan meluncurkan penyelidikan yang melibatkan pemerintah AS dan Microsoft.



Pada 13 Desember, FireEye merilis laporan terperinci tentang kompromi tersebut , yang menjelaskan bagaimana kode berbahaya didistribusikan melalui perangkat lunak Orion SolarWinds.



Pada 17 Desember, Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan pengumuman darurat, yang meminta semua perusahaan yang menggunakan perangkat lunak SolarWinds untuk memperbarui atau bahkan memutuskan SolarWinds Orion dari jaringan (pada Langkah 2 dari posting di atas). Sejak itu, Layanan Investigasi Insiden Keamanan Varonis telah memperhatikan lonjakan investigasi forensik terkait dengan kampanye tersebut dan telah mengidentifikasi beberapa serangan aktif.



Meskipun sebagian besar materi hingga saat ini berfokus pada perbaikan versi solusi SolarWinds Orion yang dikompromikan, menurut CISA , ada bukti vektor intrusi tambahan yang terkait dengan kampanye ini.

Serangan rantai pasokan sulit untuk dilawan

Dalam serangan rantai pasokan, penyerang menargetkan vendor tepercaya atau produk tepercaya alih-alih menyerang target mereka secara langsung. Dalam kasus ini, penyerang menyuntikkan pintu belakang yang disiapkan ("pintu belakang") ke dalam produk perangkat lunak tepercaya (SolarWinds Orion), yang kemudian secara otomatis dikirim ke ribuan klien, menyamar sebagai pembaruan rutin.



Kabar buruk tidak berhenti di situ - para penyerang ternyata cukup canggih untuk luput dari perhatian selama berbulan-bulan. Mereka punya waktu untuk meninggalkan pintu belakang tambahan dan mendapatkan akses ke berbagai sistem dan data. Saat ini, organisasi yang telah menerima pembaruan berbahaya dipaksa untuk menyelidiki semuanya: dimulai dengan sistem dan akun yang terkait langsung dengan SolarWinds, dan melanjutkan penyelidikan lebih jauh ke bawah.

Deteksi primer

Terlepas dari apakah Anda pelanggan Varonis atau bukan, langkah pertama adalah memeriksa perangkat lunak SolarWinds versi rentan. SolarWinds telah mengidentifikasi versi yang rentan dan, pada 16 Desember 2020, telah merilis pembaruan dan tambalan untuk menggantikan komponen yang disusupi.



Jika versi Anda rentan, berikut adalah langkah-langkah yang harus Anda ambil:

1. avsvmcloud [.] com ,
   
   DNS avsvmcloud [.] com, , (C2) SolarWinds Sunburst.
   
   Varonis , , Varonis Edge .
   
   
2. , SolarWinds
   
   Varonis , SolarWinds, . , Active Directory, SolarWinds , .
   
   
   
   Varonis SolarWinds – :
   
   
   
   
   
   
3. , ( , SolarWinds)
   
   () , , (Azure Active Directory).
   
   , , Varonis DatAlert.
   
   

APT- ( )

Serangan ini dilakukan tanpa mengeksploitasi kerentanan zero-day (setidaknya kerentanan yang sama yang kami sadari saat ini). Teori yang berlaku, belum divalidasi oleh SolarWinds, adalah bahwa penyerang menggunakan kredensial server FTP publik yang ditemukan di GitHub pada tahun 2018 untuk mendapatkan akses ke infrastruktur pembaruan perangkat lunak perusahaan.







Penyerang dapat memodifikasi paket pembaruan perangkat lunak dan menambahkan pintu belakang berbahaya ke salah satu pustaka plugin (DLL) SolarWinds Orion yang disebut SolarWinds.Orion.Core.BusinessLayer.dll.







Para penyerang menandatangani versi DLL berbahaya mereka dengan kunci pribadi SolarWinds. Sertifikat dikeluarkan oleh Symantec.



Kami berasumsi bahwa penyerang dapat menandatangani DLL dengan salah satu dari dua cara berikut:

1. Penyerang membobol proses pengembangan, menambahkan pintu belakang, dan mengizinkan SolarWinds menandatanganinya sebagai bagian dari proses pembuatan dan penerapan perangkat lunak yang sah.
2. Penyerang mencuri kunci pribadi sertifikat, menandatangani sendiri DLL, dan mengganti DLL resmi dengan versi jahatnya. Ini kecil kemungkinannya.
   
   

Setiap organisasi yang menggunakan perangkat lunak SolarWinds dan menerima pembaruan dari server mereka telah mengunduh dan menjalankan DLL berbahaya. Karena DLL ditandatangani dan dikirim melalui server pembaruan resmi SolarWinds, sangat sulit untuk mendeteksi konten berbahaya.

Analisis backdoor SolarWinds SUNBURST (BusinessLayer.dll)

Saat kami melihat ke dalam DLL yang berbahaya, kami melihat bahwa para penyerang mengandalkan stealth. Mereka berusaha keras untuk menulis kode yang akan selaras dengan kode sumber Orion lainnya, menggunakan argumen yang ditulis dengan baik dan nama kelas dan metode yang umum dan tidak menaruh curiga seperti "Initialize" atau "Job".







Pintu belakang SolarWinds Sunburst beroperasi dalam beberapa tahap:

1. 
   
   12-14 (C2). .
   
   
   
   
   
   
2. 
   
   
   
   C2 ( , IP-, , ), , .
3. 
   
   
   
   (DGA) IP- (C2). C2 — SolarWinds OIP (Orion Improvement Program).
   
   
4. 
   
   
   
   , .
   
   
   
   
   
   
5. 
   
   
   
   , , (), TEARDROP, .
   
   

Selama sesi komunikasi pertama, pintu belakang mengirimkan informasi tentang perangkat dan lingkungannya, dienkripsi dalam paket DNS.



Tidak seperti biasanya, alamat IP dalam respons paket DNS menentukan hop berikutnya dari pintu belakang. Bergantung pada rentang alamat IP, proses SUNBURST menghentikan atau mengaktifkan fungsionalitas tambahan , misalnya, menonaktifkan antivirus atau mengunduh dan meluncurkan malware baru.

Mari kita lihat lebih dekat awal dari komunikasi backdoor dengan C2.

1. Setelah DLL dimuat, SUNBURST melakukan serangkaian pemeriksaan untuk memastikan bahwa DLL berjalan di jaringan perusahaan dan bukan di mesin yang terisolasi.
2. , « ». . .
3. FQDN C2, . (domain1 domain2) + , (domain3):
   
   
   
   
   
   
   
   :
   
   
   
   Domain1 = ‘avsvmcloud[.]com’ 
   
   Domain2 = ‘appsync-api’ 
   
   Domain3 = [‘eu-west-1’, ‘us-west-2’, ‘us-east-1’, ‘us-east-2’]
   
   GetStatus :
   
   
   
   
   
   
   
   
4. (. 2) (. 3) DNS . , DNS , .
   
   
   
   4 :
   
   
   
   «GetCurrentString» «GetPreviousString» GUID / .
   
   
   
   «GetNextString» «GetNextStringEx» GUID.
   
   
   
   DNS-, C2 , .
   
   
   
   , SUNBURST:
   
   
   
   
   
   
   
   Prevasio , DNS, .
   
   
5. , IP- DNS- SUNBURST. «IPAddressHelper» IP-, IP-, DNS-:
   
   
   
   
   
   
   
   , IP- , SUNBURST , HTTP .
   
   
6. IP- DNS- C2, CNAME. , :
   
   
   
   
   
   
7. , SUNBURST DNS- , / , 120 .
8. SUNBURST HTTP- C2 URL- , HTTP JSON.
   
   
   
   URI:
   
   
   
   hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml 
   
   
   
   , SUNBURST, / , . .:
   
   
   
   
   
   
   
   

   DLL

   
   
   , SolarWinds (EDR), . , «» .
   
   
   
   
   
   
   
   SolarWinds Sunburst , TEARDROP, «gracious_truth.jpg» Cobalt Strike Beacon, «» .
   
   
   
   — , , .
   
   
   
   FireEye CISA , (IOC), . , . , , , , — , , (« ») FireEye.
   
   
   
   « » . DLL SolarWinds Orion . , . , , . , , , , .
   
   
   
   CASA , :
   
   
   
   « , , , , . , , ».