Was ist passiert, und wer hat es getan?
Am 13. Dezember berichtete die Washington Post, dass die russische Gruppe APT29 oder Cozy Bear in das US-Finanz- und Handelsministerium eingedrungen ist und dass das FBI vermutet, dass der Angriff bereits im März 2020 begann.
FireEye berichtet, dass die Sicherheitslücke durch einen gut ausgeführten Angriff in der Lieferkette über die SolarWinds Orion-Software entstanden ist, um eine malware namens SUNBURST zu liefern. SolarWinds Orion ist ein beliebtes IT-Verwaltungstool, das von mehr als 300.000 Unternehmen auf der ganzen Welt genutzt wird, darunter 425 der Fortune-500-Unternehmen, die zehn größten Telekommunikationsunternehmen, alle Zweige des US-Militärs und US-Regierungsstellen wie die NSA, das Außenministerium, das Pentagon, das Justizministerium und das Weiße Haus. Aus diesem Grund hat die US-Regierungsbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallanweisung herausgegeben, in der sie "alle zivilen US-Bundesbehörden auffordert, ihre Netzwerke auf Anzeichen einer Kompromittierung zu überprüfen und die SolarWinds Orion-Produkte sofort zu trennen oder abzuschalten."
Der nationalstaatliche Akteur kompromittierte die SolarWinds Orion-Lösung und baute bereits im März 2020 eine Hintertür in Orion ein. Diese wurde dann genutzt, um weitere Ziele nach der Installation des infizierten Updates zu infizieren. Da diese Software auf der Ebene des Anbieters kompromittiert wurde, war sie mit gültigen Signaturen digital signiert und wurde von Antiviren- oder Betriebssystem-Schutzmaßnahmen nicht erkannt.
SolarWinds hat einen Hinweis herausgegeben, dass SolarWinds Orion Platform Software, die zwischen März 2020 und Juni 2020 veröffentlicht wurde, betroffen ist.
Wie es dazu kam und warum die Überwachung der Nutzer auf der Website cloud unerlässlich ist
Sobald das Opfer die kompromittierte Software installiert hatte, fuhr die APT-Gruppe fort, das Netzwerk weiter zu kompromittieren, indem sie privilegierte Konten nutzte, um sich seitlich zu bewegen und schließlich die Anmeldeinformationen eines Domänenadministratorkontos oder das SAML-Signaturzertifikat zu erhalten. Auf diese Weise konnten die Angreifer seitlich auf ein beliebiges lokales Gerät oder auf die Infrastruktur von cloud zugreifen. Diese Zugriffsebene könnte genutzt werden, um neue privilegierte Konten zu fälschen und eine solidere Position innerhalb einer Organisation aufzubauen. Der Angreifer wurde von Microsoft dabei beobachtet, wie er Domain Federation Trust-Aktivitäten durchführte, um Fuß zu fassen, sowie die zuvor erwähnten Techniken, um Fuß zu fassen und das Unternehmen zu kompromittieren.
Vectra Cognito bietet Kunden, die untersuchen oder feststellen wollen, ob sie von diesem Angriff betroffen sind, verschiedene Möglichkeiten.
Überblick über die Entdeckungen von Vectra
Die Tools und Techniken von APT 29 sind sehr ausgefeilt und blieben über einen längeren Zeitraum unbemerkt. Die Taktiken der Gruppe ähneln denen früherer APT-Angriffe:
- Kompromiss-Host
- Host verwenden, um Anmeldeinformationen zu stehlen / Berechtigungen zu erhöhen
- Nutzung neuer Berechtigungsnachweise, um in verschiedenen Teilen des Netzes Fuß zu fassen
- Bewegen Sie sich durch die Umgebung cloud
- Daten stehlen
Vectra Kunden vor Angriffen geschützt sind, die die gemeldeten Taktiken und Techniken nutzen. Im Folgenden finden Sie einen Überblick über die KI-gesteuerten Erkennungen von Vectraauf der Grundlage der TTPs.
Erkennungen aufgrund von Netzwerkaktivitäten
Externer Fernzugriff / Versteckter HTTPSTunnel/ Versteckter HTTP-Tunnel
- Es wird eine C2-Kommunikation und Interaktion mit dem infizierten Host erwartet. Diese Erkennung wird höchstwahrscheinlich mit der Domain avsvmcloud[.]com verknüpft sein.
Vectra Bedrohungsinformationen Match
- Relevante bösartige Ziele, die an dieser Kampagne beteiligt sind, werden im Vectra Threat Intelligence Feed überwacht.
RPC-Aufklärung / Gezielte RPC-Aufklärung
- Angreifer nutzen die integrierten Microsoft-Tools, um ein Ziel auszuspähen und auszunutzen.
Verdächtige Remote-Ausführung
- Angreifer werden sich mit Hilfe von Implantaten und Remotecodeausführung neue Standbeine schaffen
Anomalien beim privilegierten Zugriff
- Angreifer nutzen Dienstkonten und insbesondere SolarWinds-Konten, um seitlich gegen Infrastruktur-Server vorzugehen.
- Angreifer werden neue Konten mit erweiterten Rechten erstellen und gegen bestehende Hosts und Infrastrukturen einsetzen, um sich im Netzwerk zu bewegen.
Erkennungen auf Basis von Office 365 und Azure AD-Aktivitäten
Verdächtige Sign-On-Aktivität
- Es ist bekannt, dass Angreifer cloud Konten verwenden, um administrative Aktionen gegen die Infrastrukturen von Organisationen durchzuführen. Daher würde diese Erkennung ausgelöst, wenn die Gruppe das Konto von außerhalb der Organisation verwenden würde.
Erstellung eines Admin-Kontos
- Die Angreifer wurden bei der Erstellung von Verwaltungskonten beobachtet.
Neu erstellte Admin-Konten
- Ähnlich wie bei der vorherigen Erkennung würde dies auf die Verwendung eines neu erstellten Kontos durch den Angreifer hindeuten
- Verdächtige Azure AD Operation
- Angreifer wurden dabei beobachtet, wie sie neue Federation Trusts erstellten und andere Arten von Azure AD-Operationen auf hoher Ebene durchführten, um sich einen Vorsprung zu verschaffen
Riskante Anwendungsberechtigungen
- Angreifer haben bösartige Anwendungen mit weitreichenden Berechtigungen genutzt, um die Persistenz in einer Umgebung aufrechtzuerhalten
Worauf Sie in Ihrer Umgebung achten sollten:
Stream oder Recall Kunden und diejenigen, die Tools zum Sammeln von Netzwerk-Metadaten verwenden, sollten ihre Umgebung sofort nach den folgenden Punkten durchsuchen;
Überprüfung der Aktivitäten im Zusammenhang mit dem verknüpften Bereich APT29 in den iSession-Metadatenströmen
- resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (ohne die eckigen Klammern)
- resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (ohne die eckigen Klammern)
Überprüfung unerwarteter Aktivitäten von SolarWinds-Systemen über alle Metadaten hinweg
- orig_hostname:(solarwinds_01* OR SolarWinds_01*)
Überprüfung der Aktivitäten im Zusammenhang mit AD-Administratorkonten in den Kerberos_txn-Metadaten
- client:(*admin_account* OR *Admin_Account*)
Überprüfung der Aktivitäten im Zusammenhang mit Administratorkonten in den NTLM-Metadaten
- Benutzername:(*admin_account* OR *Admin_Account*)
Überprüfen Sie die Aktivitäten im Zusammenhang mit Administratorkonten in den RDP-Metadaten (beachten Sie, dass RDP-Cookies bei 9 Zeichen abgeschnitten werden)
- cookie:(admin_acc OR Admin_Acc)
- Das Cookie-Feld kann auch den Domänennamen vor dem Benutzernamen enthalten. Wenn dies der Fall zu sein scheint, führen Sie Suchen durch, bei denen ein SolarWinds-Server die Quelle ist
Schlussfolgerung
SolarWinds empfiehlt allen Kunden dringend, so schnell wie möglich auf die Orion Platform Version 2020.2.1 HF 1 zu aktualisieren, um die Sicherheit Ihrer Umgebung zu gewährleisten, oder den Internetzugang für die Orion Platform zu deaktivieren und die Ports und Verbindungen auf das Notwendigste zu beschränken.
Wenn Sie bereit sind, Ihre Herangehensweise an die Erkennung von und Reaktion auf Cyberangriffe wie diese zu ändern und einen genaueren Blick darauf zu werfen, wie Cognito Angreifer-Tools und Exploits finden kann, vereinbaren Sienoch heute einen Demo-Terminmit Vectra .