Útok na SolarWinds
14.12.2020
Útok na SolarWinds

Dokument využívá popis taktik, technik a znalostí popsaných ve frameworku MITRE ATT&CK verze 8.1

 

V průběhu roku 2020 došlo ke zcela bezprecedentnímu napadení tisíců předních světových firem, organizací a vládních agentur. Kvůli bezmála devět měsíců trvajícímu kybernetickému útoku provedenému prostřednictvím cílené modifikace platformy SolarWinds Orion, získali útočníci volný přístup k nejcitlivějším datům v IT systémech obětí, včetně některých společností a institucí z České republiky. Incident se nám podařilo zmapovat.

Naši lidé se kauze rozsáhlého kybernetického útoku věnují od 9. prosince 2020, kdy obdrželi první upozornění od kolegů z americké firmy FireEye, která hraje v celé kauze poměrně zásadní roli. Do 24 hodin, okamžitě po prověření získaných dat, jsme varovali všechny své klienty a začali jim kontinuálně poskytovat relevantní informace a bezpečnostní doporučení.

 

Útočníci zneužili aktualizační software dodavatelské firmy

V úterý 8. prosince 2020 měli v kalifornské centrále společnosti FireEye napilno. Specialisté na detekci závažných kybernetických útoků zjistili, že byla kompromitována jejich vlastní infrastruktura. A to velice sofistikovaným útokem.

Po horečnaté investigaci lidé z FireEye vystopovali zdroj potíží u významného dodavatele programů, které mají za úkol „hlídat zdraví“ všech klíčových IT zařízení zákazníka. Americká společnost SolarWinds patří k lídrům vývoje technického softwaru, který pomáhá monitorovat a spravovat sítě klientům po celém světě.

O pět dnů později 13. prosince 2020 SolarWinds oficiálně potvrdila, že jejich produkt Orion (NMS [1]) byl napaden neznámým útočníkem. Tomu se podařilo vložit kód typu backdoor do legitimní knihovny SolarWinds, což mu následně umožnilo získat vzdálený přístup do prostředí infrastruktury všech zákazníků, kteří produkt SolarWinds Orion používají a pravidelně ho aktualizují.

Útočník zároveň získal přehled o sítích a koncových bodech veškerých napadených IT infrastruktur, díky čemuž si zajistil přístup k privilegovaným účtům svých obětí. Jedná se o desetitisíce napadených firem a organizací po celém světě, včetně agentury, která spravuje americké nukleární zbraně. Bezpečnostní složky ve Spojených státech dokonce v souvislosti s tímto útokem hovoří o kybernetickém Pearl Harboru.

V následujícím textu jsme se pokusili nastínit konkrétní taktiky, techniky a postupy podle frameworku MITRE ATT&CK, které mohou zájemcům, nejenom z řad našich klientů, pomoci lépe pochopit bližší okolnosti zmíněného útoku, jeho dopady a možnosti obrany. Každý z odstavců uvádí referenční číslo použité techniky.

 

Základní fakta v bodech

  • Útok byl s největší pravděpodobností zahájen už v březnu 2020 v rámci jedné z běžných aktualizací produktu SolarWinds Orion. I přes veškeré dosud provedené obranné činnosti může být stále velice nebezpečný.
  • Útok zasáhl desítky tisíc soukromých korporací, ale i vládních subjektů, často s klíčovými pravomocemi, po celém světě.
  • Útok, vedený prostřednictvím softwaru dodavatelské firmy SolarWinds s názvem Orion a za pomoci souboru sofistikovaných technik, je odborníky považován za mimořádně komplexní.
  • Útočníci provedli cílenou modifikaci softwarové platformy SolarWinds Orion a opatřili ji backdoorem, který společnost FireEye označuje jako SUNBURST, Microsoft pak jako SOLORIGATE [2].
  • Takto upravená verze softwaru Orion byla distribuována prostřednictvím automatických aktualizací společnosti SolarWinds.
  • Útočník využil celou řadu poměrně známých MITRE ATT&CK evasion techniques, konkrétně masquerading, code signing, obfuscated files or information, indicator removal on host nebo virtualization/sandbox evasion.
  • Tito hackeři dále využili známých taktik pro splnění dílčích cílů, konkrétně jsou dosud známy Lateral Movement, Command and Control (C2) nebo Data Exfiltration.
  • Mezi zasažené organizace patří například Microsoft, AT&T, Cisco, Intel, Mastercard, Visa, Ford, Gartner, Harvard, Nestle, Siemens, Swisscom, Yahoo, Federální rezervní systém (Fed), NASA, americká ministerstva obrany a spravedlnosti, celá řada letišť, nemocnic, tajné služby a mnoho dalších subjektů [3] .
  • Díky pečlivé přípravě akce a zvolené strategii distribuce malwaru, který má globální a hluboký infrastrukturní dosah, a s ohledem na více než trpělivou exekuci je útočník považován za CyberSecurity Top-class. Panují oprávněné domněnky, že se musí jednat o tzv. state-sponsored útočníka, tedy víceméně o útok státu [4].
  • K dnešnímu dni se firmám jako Microsoft nebo Symantec podařilo provést některé důležité kroky k minimalizaci dopadu, jako je sinkhole zasažených domén (avsvmcloud[.]com; digitalcollege[.]org; freescanonline[.]com aj.), nasazení killswitch na zmíněných doménách nebo celková eliminace backdoorem zasažených souborů (SolarWinds.Orion.Core.BusinessLayer.dll) náležící k platformě Orion (remove, quarantine atd.).

 

1. Vývoj malwarových nástrojů pro útok

1.1. T1587.001 Vývoj malwaru: backdoor

Útočníci si prakticky vždy vytvářejí malware a jednotlivé komponenty malwaru ještě před napadením oběti a nejinak tomu bylo i při tomto útoku.

V případě útoku na platformu SolarWinds Orion útočník vložil svůj payload do legitimní části platformy. SolarWinds.Orion.Core.BusinessLayer.dll soubor pojmenovala společnost FireEye jako backdoor SUNBURST. Tento backdoor mimo jiné obsahuje zcela nový malware typu dropper, který dostal jméno TEARDROP [6]. Tento dropper je zodpovědný za následné doplnění malwarem typu backdoor. Zde se jedná již o poměrně známý Cobalt Strike Beacon [7]. Část malwaru CSBeacon pak byl jednoznačně použit pro ukradení dalších red team nástrojů od společnosti FireEye, o kterém jsme informovali dříve.

1.2. T1583.003 Přístup na servery v infrastruktuře: Virtual Private Server

V této technice Mitre Att&ck si protivníci pronajímají privátní servery (VPS), obvykle virtuální, které potom využívají během útoku/kampaně.

Podle výzkumu společnosti FireEye zde útočníci použili pro své VPS pouze IP adresy vždy pocházející ze stejné země, jako je země konkrétní oběti. Jsou již známé a dostupné YARA pravidla pro detekci TEARDROP dropperu [8]

2. Prvotní přístup do infrastruktury oběti

2.1. T1195.002 Kompromitování Dodavatelského softwaru

V této technice pozměňují/manipulují útočníci software dodavatele ještě před tím, než je následně použit u zákazníka/uživatele, konkrétně takto:
- Zdrojový kód nebo jeho návaznost na Open Source kód
- Úložiště zdrojových kódů a aktualizační mechanismy

V případě útoku na platformu SolarWinds Orion útočník vložil kód do souboru knihovny SolarWinds.Orion.Core.BusinessLayer.dll. Podle bezpečnostního doporučení vydaného společností SolarWinds útočník napadl backdoorem tři verze softwaru Orion platformy: 2019.4 HF 5, 2020.2 bez opravy hotfix a 2020.2 HF1 [9]. Není však zcela jasné, jak přesně útočník tuto knihovnu pozměnil/zmanipuloval. Podle výzkumu společnosti Microsoft mohl útočník kompromitovat a manipulovat přímo kompilační a distribuční systémy/servery [10]. Dalším tvrzením je fakt, že útočníci mohli nahrát soubor DLL na úložiště FTP pomocí uniklých přihlašovacích údajů k těmto serverům [11]. Je však jisté, že napadený soubor platformy Orion se škodlivým kódem byl poté distribuován automatickým mechanismem aktualizací.

Základním protiopatřením je v tomto případě kontrola těchto adresářů:
%PROGRAMFILES%\SolarWinds\Orion\
%WINDIR%\System32\config\systemprofile\AppData\Local\assembly\tmp\<random>\

A následné zjištění přítomnosti souboru SolarWinds.Orion.Core.BusinessLayer.dll s následujícími SHA256 haši prověřeným a řádně aktualizovaným Anti-malware nástrojem:

  • 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
  • dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
  • eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
  • c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
  • ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
  • 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
  • ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
  • a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc

Dalším logickým krokem je potom nasazení nástrojů EDR [12], které budou přítomnost a aktivitu v těchto místech hlídat.

3. Spouštění malwarových nástrojů

3.1. T1569.002 Systémové služby (services): Spouštění

Tato technika Mitre Att&ck umožní útočníkům převést svůj malware na službu Windows [13].

Během instalace aplikace nebo aktualizace SolarWinds Orion je napadený soubor DLL načten legitimním souborem SolarWinds.BusinessLayerHost.exe nebo SolarWinds.BusinessLayerHostx64.exe a nainstalován jako služba Windows.

4. Persistence (udržení v infrastruktuře)

4.1. T1543.003 Vytvoření nebo pozměnění Windows procesů: Windows Service

V rámci aktivit pro udržení škodlivých nástrojů v infrastruktuře útočníci obvykle vytváří nebo pozměňují Windows služby takovým způsobem, aby jejich nástroje mohly provádět určenou aktivitu opakovaně a stále[14].

Po spuštění systému Windows se škodlivý kód spustí jako služba. Malware TEARDROP je načten s upravenou knihovnou DLL a běží jako služba na pozadí.

5. Získání privilegovaných přístupů

5.1. T1078 Běžné a privilegované přístupy

Pomocí této techniky útočníci získávají přístup k běžným uživatelským, servisním nebo rovnou privilegovaným účtům proto, aby získali buď přímý počáteční vstup do infrastruktury nebo systémů, poté si zabezpečili trvalý přístup, a mohli tak zůstávat skrytí před obrannými mechanismy, nebo aby rovnou mohli provádět skrytý pohyb po infrastruktuře oběti[15].

V případě napadení platformy SolarWinds Orion útočník používal získané účty právě ke skrytému pohybu po infrastruktuře oběti, tzv. Latereal movement.

6. Úniky před detekcí / obrannými mechanismy a skrývání

6.1. T1553.002 Rozvracení systémů kontrol: Elektronický podpis kódů

Aby se vyhnuli technologiím řízení spouštění a běhu aplikací/programů, útočníci podepisují svůj malware platnými podpisy vytvořením, získáním nebo krádeží materiálů pro podepisování kódu[16].

Při incidentu SolarWinds útočníci narušili digitální certifikáty SolarWinds. Takto narušené certifikáty je nutno co nejdříve odstranit (pokud to neudělá rovnou vydavatel certifikátu):
"Signer": "Solarwinds Worldwide LLC"
"SignerHash": "47d92d49e6f7f296260da1af355f941eb25360c4"

6.2. T1036.005 Skrývání: používání legitimních jmen stanic/serverů nebo lokací

Jako další techniku úniku mění útočníci vlastnosti svých škodlivých artefaktů na legitimní a důvěryhodné. Elektronické podpisy kódu, názvy a umístění malwarových souborů nebo názvy Windows úloh a služeb jsou některé z příkladů. Po úspěšném ukrytí se škodlivé artefakty útočníků, jako jsou právě malwarové soubory, uživatelům a bezpečnostním mechanismům zdají legitimní[17].

Podle zprávy společnosti FireEye používá útočník legitimní název hostu nalezený právě v prostředí oběti s platformou SolarWinds jako název svého hostu ve vlastní infrastruktuře command & control (C2), aby se zabránilo detekci. Malware navíc maskuje svůj provoz C2 jako protokol Orion Improvement Program (OIP) [18].

6.3. T1036.003 Skrývání: Přejmenování systémových nástrojů

Aby se zabránilo detekci podle jména, mohou útočníci přejmenovat systémové nástroje. Útočníci často navíc nahradí legitimní nástroj svým, ten vykoná svoje aktivity a poté se obnoví legitimní původní soubor.

6.4. T1036.004 Skrývání: Skrývání systémových úloh a služeb

Útočníci maskují názvy svých škodlivých úloh nebo služeb jménem legitimních úloh a služeb, aby vypadaly neškodně, a vyhnuly se tak detekci[19]. Protivníci běžně používají shodné nebo podobné názvy legitimních úkolů a služeb prováděných Plánovačem úloh systému Windows na Linux i Windows, Windows services.msc nástroji a Linux systemd služeb.

6.5. T1497.003 Omezování detekce sandboxem: Úmyslné zpoždění provedení aktivit

Útočníci používají různé metody úniku před detekcí založené na čase, například zpoždění funkčnosti malwaru při prvotním spuštění, aby se vyhnuli virtualizačním a analytickým prostředím[20].

V případě SolarWinds útočníci zdržují komunikaci velení a řízení dva týdny po instalaci.

6.6. T1027.003 Cílené matení souborů a informací: Steganografie

V této technice MITRE ATT&CK se útočníci pokoušejí skrývat data v digitálních médiích, jako jsou obrázky, zvuk, video a text, aby zabránili detekci skrytých informací[21].

Malware TEARDROP použitý při útoku na platformu SolarWinds Orion načítá škodlivý kód ze souboru gracious_truth.jpg (vypadající jako legitimní obrázek).

6.7. T1070.004 Uklízení stop na hostech: Smazání použitých souborů

Útočníci odstraňují své škodlivé soubory, aby odstranili stopy, a minimalizovali tak možnosti detekce nebo úspěšné pozdější forenzní analýzy[22].

Útočník i v případě SolarWinds odstraní své škodlivé soubory, včetně backdooru.

7. Získávání důležitých informací

7.1. T1057 Získání informací o procesech

Útočníci získávají informace o spuštěných procesech v systému, aby porozuměli běžnému softwaru a aplikacím spuštěným v systémech a v síti[23].

Součástí útoků pomocí napadené platformy Orion je získání seznamu procesů, které potom pomohou doladit následný postup.

7.2. T1012 Dotazy do registrů systému

Mnozí útočníci se dotazují přímo i Windows registry, aby získali informace o systému, konfiguraci a nainstalovaném softwaru[24].

V našem případě získají identifikátor GUID kryptografického stroje dotazem na hodnotu MachineGuid v klíči HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography, aby vygeneroval jedinečné ID uživatele pro každou oběť.

8. Skrytý pohyb po infrastruktuře a systémech

8.1. T1021 Připojení k dalším službám

V této technice MITRE ATT & CK používají útočníci platné účty pro přihlášení ke vzdáleným službám, jako jsou Windows Vzdálená plocha (RDP), SSH a VNC.

V případě útoku pomocí SolarWinds útočník používá dříve získané platné účty a legitimní vzdálený přístup ke skrytému pohybu v infrastruktuře oběti.

9. Command and Control

9.1. T1071.001 Protokoly aplikačních vrstev: Webové Protokoly

Podle této techniky útočníci komunikují pomocí protokolů aplikační vrstvy (ISO Layer 7) a schválně míchají C2 provoz s existujícím legitimním webovým provozem, aby se vyhnuli detekci a filtrování v síti[25].

Malware použitý v tomto případu využívá:
HTTP GET nebo HEAD requests, když jsou požadována data.
Requests HTTP PUT nebo HTTP POST při odesílání dat.

Jedna ze škodlivých domén avsvmcloud[.]com nejčastěji použitá k přístupu k útočníkem vlastněným serverům. Blokujte následující domény a zkontrolujte logy a události ze síťových prvků nebo firewallů [26]:
Avsvmcloud[.]com
Digitalcollege[.]org
Freescnaonline[.]com
Deftsecurity[.]com
Thedoccloud[.]com
Virtualdataserver[.]com

9.2. T1568.002 Dynamické překlady: Domain Generation Algorithms (DGA)

Útočníci používají algoritmy k automatickému generování domén (DGA) k dynamickému generování domén Command & Control serverů (C2), místo aby se spoléhali na seznam statických adres IP nebo domén [19].

Backdoor použitý při těchto útocích používá k určení svého serveru C2 DGA [27]. Bylo zjištěno, že dotazy DNS jsou vytvářeny kombinací dříve zpětně vytvořeného jedinečného identifikátoru guid (založeného na hašování názvu hostitele a adresy MAC) s payloadem, které je vlastně specifickým base32 zakódováním názvu hosta.

Část dotazu subdomény DGA je rozdělena do tří částí:
<encoded_guid> + <byte> + <encoded_hostname>
Příkladem škodlivé domény je:
7cbtailjomqle1pjvr2d32i2voe60ce2.appsync-api.us-east-1.avsvmcloud.com

10. Exfiltrace

10.1. T1041 Exfiltrace dat přes C2 kanál

V této technice MITRE ATT&CK si útočníci ukradnou data exfiltrací přes existující kanál C2 [28].

Útočník v našem případě používá požadavky HTTP PUT nebo HTTP POST, když jsou shromážděná data exfiltrována na server C2. Jestliže je payload větší než 10 000 bajtů; je použita metoda POST. Jinak se použije metoda PUT. Prozatím stále není zcela jasno v tom, kolik dat bylo obětem úspěšně exfiltrováno/ukradeno [29].

 

Bezpečnostním trendem je včasný přístup k přesným informacím

Útok na společnosti a organizace prostřednictvím jednoho z produktů jejich dosud absolutně spolehlivého dodavatele IT služeb a rozsah tohoto útoku je pro oblast kybernetické bezpečnosti více než znepokojivou zprávou. Ukazuje se, že je třeba být proaktivní, že nelze spoléhat jen na automatické aktualizace, jakkoli je nutnost software opravovat a udržovat aktualizovaný nezbytná.

Incident potvrdil trend, který ukazuje, že je pro firmy a instituce stále nezbytnější mít včasný přístup k co nejpřesnějším informacím a doporučením od spolehlivého poskytovatele IT bezpečnostních služeb. Pokud takového dosud nenašly, rozhodně by neměly otálet s prověřením svých dodavatelů a partnerů a provedením monitoringu všech klíčových aktivit a instalací ve svých IT systémech. Ve světle všech výše uvedených odstavců je zcela neoddiskutovatelné, že každá firma, která měla co do činění s platformou Orion od SolarWinds, musí k problému přistupovat tak, že už byla napadena.

Václav Stoffer, Cyber Defense Center, AEC


Václav Stoffer

Security Specialist
Cyber Defense Center
AEC a.s.

security is our DNA 



Použité zdroje

[1] - https://en.wikipedia.org/wiki/Network_monitoring
[2] - https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[3] - https://web.archive.org/web/20201214065921/https://www.solarwinds.com/company/customers
[4] - https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/
[5] - https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/
[6] - https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[7] - https://www.cobaltstrike.com/help-beacon
[8] - https://github.com/fireeye/sunburst_countermeasures/commit/7c81a5c9b9fa6afa94695596d9bbc5a26cdf5a89
[9] - https://attack.mitre.org/techniques/T1569/002/
[10] - https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks.
[11] - https://twitter.com/vinodsparrow/status/1338431183588188160?s=20.
[12] - https://en.wikipedia.org/wiki/Endpoint_detection_and_response
[13] - https://attack.mitre.org/techniques/T1569/002/
[14] - https://attack.mitre.org/techniques/T1543/003/
[15] - https://attack.mitre.org/techniques/T1078/
[16] - https://attack.mitre.org/techniques/T1553/002/
[17] - https://www.picussecurity.com/resource/blog/picus-10-critical-mitre-attck-techniques-t1036-masquerading.
[18] - https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[19] - https://attack.mitre.org/versions/v8/techniques/T1036/004/
[20] - https://attack.mitre.org/techniques/T1497/003/
[21] - https://attack.mitre.org/techniques/T1027/003/
[22] - https://attack.mitre.org/techniques/T1027/003/
[23] - https://attack.mitre.org/techniques/T1057/
[24] - https://attack.mitre.org/techniques/T1012/
[25] - https://attack.mitre.org/techniques/T1071/001/
[26] - https://www.sans.org/blog/what-you-need-to-know-about-the-solarwinds-supply-chain-attack/
[27] - https://blog.cloudflare.com/a-quirk-in-the-sunburst-dga-algorithm/
[28] - https://attack.mitre.org/techniques/T1041/
[29] - https://www.crn.com/news/security/microsoft-s-role-in-solarwinds-breach-comes-under-scrutiny