スマートスピーカーのAmazonEchoを自宅に持っている人(Yandex Alice、Maroussia-適切なものに置き換えてください)が、過去6か月間、彼女が家の鍵を開けて泥棒を中に入れていることを知っていると想像してみてください。侵入者があなたの鍵、文書、記憶媒体のコピーを作成したり、たとえば給水システムを汚染したりする可能性がある場合、どのようにして安全を感じることができますか?
これは、Sunburstマルウェアの影響を受けた何千もの組織がSolarWindsのソフトウェアサプライチェーンをハッキングした場所です。影響を受ける企業は、妥協の兆候を必死に探して、予定外のインフラストラクチャセキュリティ監査を実施しており、調査が行われるまで多くのサービスを一時停止する場合もあります。
12月8日、FireEyeはハッキングされたと発表し 、米国政府とマイクロソフトが関与する調査を開始しました。
12月13日、FireEyeは、SolarWindsのOrionソフトウェアを介して悪意のあるコードがどのように配布されるかを説明する侵害に関する詳細なレポートをリリースしました 。
12月17日、Cybersecurity and Infrastructure Security Agency(CISA) は緊急発表を行いました。、SolarWindsソフトウェアを使用しているすべての企業に、SolarWinds Orionを更新するか、ネットワークから切断するように依頼しました(上記の投稿のステップ2)。それ以来、Varonis Security IncidentInvestigation Serviceは、キャンペーンに関連する法医学調査の急増に気づき、いくつかのアクティブな攻撃を特定しました。
これまでの資料の多くは、SolarWinds Orionソリューションの侵害されたバージョンの修復に焦点を当てていましたが、 CISAによると、このキャンペーンに関連する追加の侵入ベクトルの証拠があります。
サプライチェーン攻撃を防御するのは難しい
サプライチェーン攻撃では、攻撃者はターゲットを直接攻撃するのではなく、信頼できるベンダーまたは信頼できる製品をターゲットにします。この場合、攻撃者は準備されたバックドア(「バックドア」)を信頼できるソフトウェア製品(SolarWinds Orion)に注入し、それが定期的な更新を装って数千のクライアントに自動的に送信されました。
悪いニュースはそれだけではありません-攻撃者は何ヶ月も気付かれないほど洗練されていることが判明しました。彼らには、追加のバックドアを残して、さまざまなシステムやデータにアクセスする時間がありました。現在、悪意のある更新を受け取った組織は、SolarWindsに直接関連付けられているシステムとアカウントから始めて、チェーンのさらに下流で調査を続けるなど、すべてを完全に調査することを余儀なくされています。
一次検出
あなたがVaronisの顧客であるかどうかにかかわらず、最初のステップは、SolarWindsソフトウェアの脆弱なバージョンをチェックすることです。 SolarWindsは脆弱なバージョンを特定し 、2020年12月16日の時点で、侵害されたコンポーネントを置き換えるための更新と修正をリリースしました。
お使いのバージョンが脆弱な場合は、次の手順を実行する必要があります。
- avsvmcloud [.] com ,
DNS avsvmcloud [.] com, , (C2) SolarWinds Sunburst.
Varonis , , Varonis Edge .
- , SolarWinds
Varonis , SolarWinds, . , Active Directory, SolarWinds , .
Varonis SolarWinds – :
- , ( , SolarWinds)
() , , (Azure Active Directory).
, , Varonis DatAlert.
APT- ( )
この攻撃は、ゼロデイの脆弱性(少なくとも現時点で私たちが知っているのと同じ脆弱性)を悪用することなく実行され ました。 SolarWindsによってまだ検証されていない一般的な理論では、攻撃者は2018年にGitHubで発見されたパブリックFTPサーバーの資格情報を使用して、会社のソフトウェア更新インフラストラクチャにアクセスしました。
攻撃者は、ソフトウェア更新パッケージを変更し、SolarWindsOrionのプラグインDLLの1つであるSolarWinds.Orion.Core.BusinessLayer.dllに悪意のあるバックドアを追加することができました 。
攻撃者は、SolarWindsの秘密鍵を使用して悪意のあるDLLバージョンに署名しました。証明書はSymantecによって発行されました。
攻撃者が次の2つの方法のいずれかでDLLに署名できたと想定します。
- 攻撃者は開発プロセスに侵入し、バックドアを追加し、SolarWindsが正当なソフトウェアの作成および展開プロセスの一部として署名することを許可しました。
- 攻撃者は証明書の秘密鍵を盗み、DLL自体に署名し、公式DLLを悪意のあるバージョンに置き換えました。これは起こりそうにありません。
SolarWindsソフトウェアを使用し、サーバーから更新を受信する組織は、悪意のあるDLLをダウンロードして実行しています。DLLは、公式のSolarWinds更新サーバーを介して署名および配信されたため、悪意のあるコンテンツを検出することは非常に困難でした。
SolarWinds SUNBURSTバックドアの分析(BusinessLayer.dll)
悪意のあるDLLの内部を見ると、攻撃者がステルスに依存していることがわかります。彼らは、よく書かれた引数と、「Initialize」や「Job」などの一般的で疑うことを知らないクラス名とメソッド名を使用して、Orionの残りのソースコードと調和するコードを書くために多大な努力を払いました。
SolarWinds Sunburstバックドアは、いくつかの段階で動作します。
-
12-14 (C2). .
-
C2 ( , IP-, , ), , . -
(DGA) IP- (C2). C2 — SolarWinds OIP (Orion Improvement Program).
-
, .
-
, , (), TEARDROP, .
最初の通信セッション中に、バックドアはデバイスとその環境に関する情報をDNSパケットで暗号化して送信します。
異常なことに、応答DNSパケットのIPアドレスがバックドアのネクストホップを決定します。IPアドレスの範囲に応じて、 SUNBURSTプロセスは、アンチウイルスの無効化や新しいマルウェアのダウンロードと起動などの追加機能を終了またはアクティブ化します。
C2とのバックドア通信の始まりを詳しく見てみましょう。
- DLLがロードされると、SUNBURSTは一連のチェックを実行して、DLLが分離されたマシンではなく、企業ネットワークで実行されていることを確認します。
- , « ». . .
- FQDN C2, . (domain1 domain2) + , (domain3):
:
Domain1 = ‘avsvmcloud[.]com’
Domain2 = ‘appsync-api’
Domain3 = [‘eu-west-1’, ‘us-west-2’, ‘us-east-1’, ‘us-east-2’]
GetStatus :
- (. 2) (. 3) DNS . , DNS , .
4 :
«GetCurrentString» «GetPreviousString» GUID / .
«GetNextString» «GetNextStringEx» GUID.
DNS-, C2 , .
, SUNBURST:
Prevasio , DNS, .
- , IP- DNS- SUNBURST. «IPAddressHelper» IP-, IP-, DNS-:
, IP- , SUNBURST , HTTP .
- IP- DNS- C2, CNAME. , :
- , SUNBURST DNS- , / , 120 .
- SUNBURST HTTP- C2 URL- , HTTP JSON.
URI:
hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml
, SUNBURST, / , . .:
DLL
, SolarWinds (EDR), . , «» .
SolarWinds Sunburst , TEARDROP, «gracious_truth.jpg» Cobalt Strike Beacon, «» .
— , , .
FireEye CISA , (IOC), . , . , , , , — , , (« ») FireEye.
« » . DLL SolarWinds Orion . , . , , . , , , , .
CASA , :
« , , , , . , , ».