Entschlüsselung des SolarWinds-Einbruchs: ein Blick auf die verwendeten Methoden

^Vectra® schützt Unternehmen durch die Erkennung und Unterbindung von Cyberangriffen.

Als führendes Unternehmen im Bereich Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) schützt Vectra® AI Ihre Daten, Systeme und Infrastruktur. Vectra AI ermöglicht es Ihrem SOC-Team, potenzielle Angreifer schnell zu entdecken und auf sie zu reagieren - bevor sie handeln.

Vectra AI identifiziert schnell verdächtiges Verhalten und verdächtige Aktivitäten in Ihrem erweiterten Netzwerk, egal ob vor Ort oder auf cloud. Vectra findet es, markiert es und alarmiert das Sicherheitspersonal, damit es sofort reagieren kann.

Vectra AI ist Sicherheit, die mitdenkt®. Sie nutzt künstliche Intelligenz, um die Erkennung und Reaktion im Laufe der Zeit zu verbessern und Fehlalarme zu eliminieren, damit Sie sich auf echte Bedrohungen konzentrieren können.

Die Erkennungsmodelle von Vectra AI bieten eine Frühwarnung in Echtzeit und eine kontinuierliche Sichtbarkeit des Angriffsverlaufs von vor Ort bis cloud , ohne dass eine Abhängigkeit von IoCs, Signaturen oder anderen Modellaktualisierungen besteht.

HIGHLIGHTS

• Es wurden mehrere Kommunikationskanäle, Phasen und Tools verwendet, um eine interaktive Steuerung über die Tastatur zu ermöglichen. Jede Phase war darauf ausgelegt, die Wahrscheinlichkeit einer Entdeckung zu minimieren, und zwar mit Techniken, die IDS-Tool-Signaturen, EDR, manuelle threat hunting und sogar gängige Ansätze zur ML-basierten Erkennung umgehen.
• Die bei diesem Angriff verwendete DGA war anders: Für jedes Opfer wurde eine einzige, eindeutige Subdomain generiert, die aus einer weltweit eindeutigen ID, die aus lokalen Attributen berechnet wurde, und einer Kodierung des Hostnamens des Opfers bestand.
• Die KI von Vectra durchschaut die angewandten Ausweichtaktiken und entdeckt die Tunnel, sobald sie aktiv werden.
• Vectra schützt das gesamte Netzwerk von hybriden, lokalen und cloud Konnektivitäten mit lernenden Verhaltensmodellen, die sowohl Hosts als auch Identitäten verstehen und Angreifer früher in der Kill Chain aufspüren und stoppen.

Zusammenfassung

Der SolarWinds Orion-Hack, jetzt bekannt als Sunburst oder Solorigate, zeigt deutlich den Bedarf an KI-gestützter Netzwerkerkennung und -reaktion (NDR). Vorbeugende Sicherheits- und endpoint -Kontrollen, die zwar die Messlatte höher legen, sind unzureichend, und ältere, signaturbasierte Intrusion Detection Systeme (IDS) haben sich erneut als unwirksam erwiesen, wenn es um die Erkennung neuer Angriffe geht, bei denen es noch keine Kompromissindikatoren (IoCs) gibt.

Die Angreifer von SolarWinds haben erhebliche Anstrengungen unternommen, um präventive Kontrollen wie Netzwerk-Sandboxen, endpoint und Multifaktor-Authentifizierung (MFA) zu umgehen:

• umfangreiche Prüfungen, um sicherzustellen, dass es sich nicht um eine Sandbox oder eine andere malware Analyseumgebung handelt
• Verwendung von Code-Signierung und legitimen Prozessen zur Umgehung der üblichen endpoint Kontrollen
• neuartiger In-Memory-Dropper zur Umgehung der dateibasierten Analyse bei der Verteilung des Command and Control (C2) Beacons
• MFA-Umgehung durch gestohlene SAML-Sitzungsschlüssel (Security Assertion Markup Language)

Das Maß an Geschicklichkeit und Konzentration, das erforderlich ist, um die Kontrollen von endpoint zu umgehen, ist ein Tribut an die jüngsten Fortschritte bei Endpoint Detection and Response (EDR). Es ist jedoch auch eine Erinnerung daran, dass ein entschlossener und ausgeklügelter Angreifer immer in der Lage sein wird, die Präventions- und endpoint Kontrollen zu umgehen.

Die Nutzung von Netzwerkerkennung und -reaktion - wobei Netzwerk im weitesten Sinne als alles außerhalb von endpointdefiniert wird - ist ein besserer Ansatz zur Abwehr dieser Art von Angriffen. Die Erkennungsmodelle von Vectra AI bieten Frühwarnungen in Echtzeit und eine kontinuierliche Sichtbarkeit des Angriffsverlaufs von vor Ort bis cloud , ohne dass eine Abhängigkeit von IoCs, Signaturen oder anderen Modellaktualisierungen besteht. All dies trägt dazu bei, Angriffe wie Sunburst/Solorigate/SolarWinds zu erkennen und zu stoppen, bevor sie Schaden anrichten.

Abbildung der Angriffsprogression von vor Ort zu cloud

Ziel der Kompromittierung des Orion-Codes war es, einen zuverlässigen und unbemerkten C2-Kanal von den Angreifern zu einer vertrauenswürdigen und privilegierten Infrastrukturkomponente innerhalb des Rechenzentrums - SolarWinds - aufzubauen, der den Angreifern sowohl einen ersten privilegierten Zugang als auch einen Dreh- und Angelpunkt für die Fortsetzung des Angriffs bieten würde.

Es wurden mehrere Kommunikationskanäle, Phasen und Tools verwendet, um eine interaktive Steuerung über die Tastatur zu ermöglichen. Jede Phase war darauf ausgelegt, die Wahrscheinlichkeit einer Entdeckung zu minimieren, und zwar mit Techniken, die IDS-Tool-Signaturen, EDR, manuelle threat hunting und sogar gängige Ansätze zur ML-basierten Erkennung umgehen.

Im Folgenden wird der Verlauf des Angriffs von der anfänglichen Hintertür bis hin zur Einrichtung eines dauerhaften Zugriffs auf die Umgebungen von cloud skizziert, wobei der Schwerpunkt auf Microsoft Office 365/E-Mail liegt, das offenbar ein Hauptziel der Angriffe gewesen ist.

Die Abdeckung von Vectra AI - ohne Rückgriff auf IoCs oder Signaturen - beginnt, sobald der erste C2-Kanal aufgebaut ist. Die Kombination von Verhaltensweisen, die direkt auf dem SolarWinds-Server beobachtet wurden, führte dazu, dass dieser als "kritisch" eingestuft wurde, noch bevor eine seitliche Bewegung stattfand, was eine frühzeitige Eindämmung ermöglichte. Sollte der Angriff fortschreiten, würden zusätzliche Erkennungen volle Transparenz in jeder nachfolgenden Phase bieten, selbst wenn der Angriff auf cloud und Office 365 übergreift.

Einrichtung eines verdeckten C2-Kanals

Der C2-Kanal ist nicht nur sorgfältig darauf ausgelegt, Signaturen zu umgehen, sondern auch einfache, aber gängige ML-Ansätze. Die C2-Modelle von Vectra verwenden einen ausgefeilteren KI-Ansatz, der die Umgehungstaktiken durchschaut, um den zugrunde liegenden C2 zu erkennen.

Der Domänenerzeugungsalgorithmus, der sich nicht wie ein DGA verhält

Sobald die Backdoor aktiviert ist, wird eine DGA verwendet, um die Haupt-C2-Infrastruktur der Angreifer umzuleiten. Während die von der Backdoor kontaktierte Domäne dynamisch generiert wird, unterscheidet sich diese DGA von den meisten anderen. DGAs werden in der Regel von Botnets verwendet, um Bedrohungsinformationen und Blocklisten voraus zu sein. Das Opfersystem durchläuft viele zufällig aussehende, algorithmisch generierte Domänen - von denen die meisten NXDOMAIN-Antworten zurückgeben -, bis es schließlich die derzeit aktive C2-Domäne auflöst.

Die bei diesem Angriff verwendete DGA war jedoch anders: Für jedes Opfer wurde eine einzige, eindeutige Subdomain generiert, die aus einer global eindeutigen ID, die aus lokalen Attributen berechnet wurde, und einer Kodierung des Hostnamens des Opfers bestand. Die Backdoor sendete in zufälligen Abständen Signale an diese einzelne Domäne. Die Domäne wurde jedes Mal erfolgreich aufgelöst. Das Opfer setzte das DNS-Beacon fort, bis es eine CNAME-Antwort erhielt, die das Signal für die nächste Phase des Angriffs war und die Verbindung zur primären C2-Domäne herstellte.

Der DNS-Beacon wurde so konzipiert, dass er von Sicherheitslösungen kaum entdeckt werden kann:

• Die verwendete Domäne war Jahre alt und wurde ca. 2 Monate vor der ersten Nutzung in den IP-Bereich von Microsoft verschoben, wodurch Reputations- oder Domänenalterungskonzepte vereitelt wurden.
• Es wurden keine NXDOMAINs zurückgegeben, wodurch ein primäres Signal für die gemeinsame DGA-Erkennung wegfiel.
• Die algorithmisch generierte Domain war eine tiefe Subdomain (z. B. 3mu76044hgf7shjf.appsync-api.us-est-2.avsvmcloud.com). Viele legitime Dienste verwenden die Zufallsgenerierung auf dieser Ebene, so dass die Erkennung der Zufallsgenerierung extrem verrauscht und unpraktisch wäre.
• Beacons zu einer einzigen Subdomain mit einer einzigen Information, was DNS-Tunneldetektoren umgeht, die nach unterschiedlichen Subdomains suchen, die zur Verschlüsselung weiterer Informationen verwendet werden.

Trotz der von den Angreifern verwendeten Methoden wird diese Phase des Angriffs von Vectra Threat Intelligence und benutzerdefinierten Modellen auf der Grundlage bekannter IoCs genau erkannt.

Umstellung auf HTTPS

Sobald der C2-Kanal aktiviert ist, baut das Binärprogramm einen HTTPS-Tunnel zu der Domäne auf, die in der CNAME-Antwort auf den DNS-Baken angegeben ist. HTTPS-Tunnel bieten eine höhere Interaktivität, eine effizientere Datenübertragung und sind schwieriger zu erkennen als DNS-Tunnel.

Die KI-Erkennungsmodelle von Vectra laufen auf Hochtouren, sobald der HTTPS-Tunnel aufgebaut ist.

In der ersten HTTPS-Phase wird ein vollständig benutzerdefinierter Tunnel mit einer langsamen maximalen Beacon-Rate (1 Minute, d. h. geringe Interaktivität) und einem begrenzten Funktionsumfang verwendet. Er scheint für zwei Hauptzwecke verwendet worden zu sein:

(1) Sammeln Sie zusätzliche Informationen über den kompromittierten SolarWinds-Server, einschließlich eines Administratorkontos.

(2) Laden Sie den TEARDROP-Dropper herunter und installieren Sie einen Cobalt Strike HTTPS-Tunnel, der so angepasst ist, dass er Tool-Signaturen umgeht.

Nachdem der Cobalt Strike HTTPS-Tunnel eingerichtet worden war, wurde dieser für die aktiven Hand-auf-Tastatur-Phasen des Angriffs genutzt.

Beide HTTPS-Tunnel verwenden relativ standardisierte Methoden zur Kommunikation, wobei Befehle und Ergebnisse über ein regelmäßiges, verschlüsseltes Signal übertragen werden. Es gibt wenig bis gar keine Innovation in diesem Tooling.

Wie bei der DNS-Bake wurden die Domänen jedoch so ausgewählt, dass die Wahrscheinlichkeit einer Erkennung minimiert wurde: Die Domänen waren alle gut gelagert/gealtert und wurden in Amazon AWS-IP-Räumen gehostet. Diese einfache Taktik wird überraschenderweise nicht nur passive DNS- und Reputationssysteme umgehen, sondern auch die meisten ML-basierten Erkennungssysteme. Und warum? Die meisten ML-Erkennungssysteme beginnen mit der Suche nach Beacons in einer Umgebung, aber aufgrund der schieren Anzahl legitimer Beacons in Netzwerken müssen diese Modelle eine Möglichkeit haben, auszuwählen, welche Beacons alarmiert und welche ignoriert werden sollen.

Eine einfache Möglichkeit, dieses Problem zu lösen, besteht darin, nur vor Beacons zu warnen, die Domains verwenden, die weniger als ein paar Wochen alt sind, so dass jede Domain, die auch nur mäßig alt ist, zugelassen wird. Es ist auch üblich, einige CSP-IP-Bereiche auf eine Whitelist zu setzen, insbesondere von mobilen Geräten aus. Dieser Ansatz funktioniert für die meisten roten Teams gut, schützt aber, wie dieser Fall deutlich zeigt, nicht vor einem raffinierten Angreifer, der den Angriff im Voraus geplant hat.

Vectra verwendet einen Beacon-Detektor als Grundlage für die Tunnelerkennung. Anstelle des oben beschriebenen Ansatzes verwenden die Hidden HTTP/S-Tunnelmodelle von Vectra jedoch ein fortschrittliches rekurrentes neuronales LSTM-Netzwerk, das auf die Metadaten des Zeitserienverkehrs angewendet wird, um C2-Interaktionen über das Beacon zu identifizieren, während Dinge wie Börsenticker ignoriert werden. Dadurch durchschaut die KI von Vectra die hier angewandten Umgehungstaktiken und erkennt die Tunnel, sobald sie aktiv werden.

Die KI von Vectra durchschaut die hier angewandten Ausweichtaktiken und entdeckt die Tunnel, sobald sie aktiv werden.

Den Angriff vorantreiben: Identität und der cloud Pivot

Sobald der C2-Kanal erfolgreich eingerichtet ist, wird er genutzt, um den Angriff über die Tastatur zu steuern und voranzutreiben. Aufgrund des menschlichen Elements werden die Details von Umgebung zu Umgebung variieren. Es gibt jedoch einen gemeinsamen Ablauf, der in der Forschung zu Cozy Bear TTPs im Allgemeinen und dem SolarWinds-Angriff im Besonderen beschrieben wurde.

Seitliches Verschieben, um zu Domain Admin zu gelangen

Ein Angreifer, der die vertrauenswürdige Infrastruktur (SolarWinds) kontrolliert und Zugriff auf verschiedene privilegierte Konten hat, einschließlich SolarWinds-Dienstkonten und in einigen Fällen sogar Administratorkonten, bietet einen kurzen Weg zu vollständigen Domänen-Administratorrechten.

Eine verschleierte Version von ADfind wurde häufig als Teil der Angriffswerkzeuge gemeldet, die für die Aufzählung von Domänen einschließlich der Identifizierung von Domänenadministratorkonten verwendet werden. Vectra deckt die Domänenaufzählung mit dem Erkennungsmodell für verdächtige LDAP-Abfragen ab.

Wenn man die Gruppenbeziehungen und Domänenadministratorkonten kennt, ist der nächste logische Schritt die Verwendung von RPC, um den Pfad zum Domänenadministrator abzubilden. Vectra erkennt dies mit einem RPC Recon-Modell .

Sobald der Pfad kartiert ist, beginnt die Seitwärtsbewegung. Untersuchungen zeigen, dass der Taskplaner, der über die Windows Management Instrumentation (WMI) mit den auf dem SolarWinds-Server entdeckten Konten aufgerufen wird, die am häufigsten verwendete Taktik ist. Vectra bietet auf zwei Arten Erkennungsschutz für diese Seitwärtsbewegung:

• Anomalien beim privilegierten Zugriff: Vectra identifiziert und kartiert die Beziehungen zwischen allen privilegierten Konten, Diensten und Hosts. Versuche, privilegierte Konten und Dienste auf ungewöhnliche Weise zu nutzen, einschließlich der Ausführung von Befehlen, werden erkannt. Eine detailliertere Beschreibung von Vectra's Privileged Access Analytics finden Sie in unserer Lösungsübersicht zu zero trust und privilegiertem Zugriff.
• Verdächtige Remote-Ausführung: Dieses Modell konzentriert sich speziell auf RPC-UUIDs, die mit Remotecode-Ausführung über DCE/RPC, WMI und DCOM in Verbindung stehen, mit Erkenntnissen zu einem [src, dst, account, UUID]-Tupel. Die Ausführung von Remotecode außerhalb der Modell-Learnings löst die Erkennung aus.

SAML Golden Ticket und Änderung von Federation Trusts

Mit einem Domain Admin-Konto in der Hand suchten die Angreifer nach Möglichkeiten, ihre Präsenz in cloud -Umgebungen auszuweiten. Da MFA bei Azure AD und anderen Anbietern föderierter Identitäten weit verbreitet ist, haben die Angreifer stattdessen SAML-Signierzertifikate gestohlen, um neue SAML-Token zu fälschen, die zur Umgehung von MFA verwendet werden. Das SAML-Signaturzertifikat ist im Speicher des Active Directory Federation Services (ADFS)-Servers oder ähnlichem verfügbar. Die Techniken, um seitlich auf den ADFS-Server zu gelangen, wären die gleichen wie die, um zum Domänenadministrator zu gelangen, aber jetzt mit einem leistungsfähigeren Konto.

Die Vectra-Abdeckung für die Umstellung auf ADFS/SAML-Server ist die gleiche wie in früheren Phasen, insbesondere Anomalien beim privilegierten Zugriff und verdächtige Remote-Ausführung.

Das SAML-Signierungszertifikat wird dann verwendet, um ein SAML-Token zu fälschen, das den globalen Administratorzugriff auf Azure AD ermöglicht. Azure AD Suspicious Sign-On von Vectra erkennt diesen Zugriff und analysiert mehrere Dimensionen der Anmeldung - einschließlich IP, Geolocation, Anmeldemethoden und Host - um ungewöhnliche Zugriffe zu identifizieren.

Sobald der globale Admin-Zugang erreicht ist, erhält der Angreifer dauerhaften Zugriff, indem er die Konfiguration der Domänen des Federated Trust ändert. Dies kann entweder durch Hinzufügen neuer vertrauenswürdiger Domänen, die der Angreifer kontrolliert, oder neuer vertrauenswürdiger Zertifizierungsstellen (CAs) zum Erstellen und Signieren neuer Zertifikate erfolgen. Diese Änderungen ermöglichen es dem Angreifer, laufend neue SAML-Tokens auszustellen, ohne auf das ADFS zugreifen zu müssen. Vectra erkennt ungewöhnliche Änderungen an der Federated Trust-Konfiguration sowie an anderen Azure AD-Konfigurationen mit dem Erkennungsmodell Suspicious Azure AD Operation .

Dauerhafter Zugriff auf Office 365-E-Mails und -Daten

Office 365 enthält eine Fülle von Daten, die im Jahr 2020 durch die Zunahme der Zusammenarbeit und der gemeinsamen Nutzung von Dokumenten zur Unterstützung der Fernarbeit während der COVID-19-Pandemie noch weiter zunehmen werden. Die Erlangung eines kontinuierlichen E-Mail-Zugriffs scheint ein Hauptziel der Angreifer gewesen zu sein, zumindest für bestimmte Ziele in der US-Bundesregierung. Bei einer der entdeckten Techniken wurden die Anmeldeinformationen und/oder X509-Schlüssel für OAuth-Anwendungen mit Lese-/Schreibzugriff auf E-Mails (z. B. E-Mail-Archivierungsanwendungen) geändert. Diese Änderungen ermöglichten einen einfachen Zugriff auf die gesamte E-Mail-Kommunikation über API-Aufrufe, wobei die Wahrscheinlichkeit einer Entdeckung sehr gering war.

Die Azure AD Redundant Access Creation von Vectra wird bei dieser Art von Änderungen der OAuth App-Berechtigungen ausgelöst.

Mit dem Office 365-Zugang auf Administratorebene kann auch eine Reihe anderer Techniken verwendet werden, um den Zugang zu E-Mails und anderen Office 365-Daten zu erhalten. Dazu gehören:

• Einrichten von eDiscovery- und Compliance-Suchen zur Suche nach bestimmten Informationen über alle Kanäle in Office 365 - E-Mail, Teams, OneDrive, SharePoint. Diese Anwendungen werden von den Erkennungsmodellen Suspicious eDiscovery Search und Suspicious Compliance Search von Vectra abgedeckt.
• Erstellen von Power Automate-Flüssen, um die Daten automatisch zu exilieren, entweder über HTTP oder an externe Ziele wie von Angreifern kontrollierte Google Drive- oder Box-Konten. Die Vectra-Erkennung für verdächtige Power Autom ate-Daten zielt auf diesen Vektor ab.
• Andere, weniger verdeckte Techniken wie E-Mail-Weiterleitung oder Transportregeln sind ebenfalls möglich. Diese werden ebenfalls von den Vectra-Erkennungsmodellen abgedeckt - verdächtige E-Mail-Weiterleitung und verdächtige Transportregel.

Der Wert des NDR

Der SolarWinds-Hack zeigt den Nutzen - und die Notwendigkeit - von NDR-Lösungen, wenn es darum geht, Einbrüche zu erkennen, die die präventiven Sicherheitsmaßnahmen umgangen haben, und Daten zu schützen. Netzwerkbasierte Technologien sind von entscheidender Bedeutung, wenn es darum geht, die immer ausgefeilteren Bedrohungen zu bekämpfen.

Vectra schützt das gesamte Netzwerk von hybriden, lokalen und cloud Konnektivitäten mit lernenden Verhaltensmodellen, die sowohl Hosts als auch Identitäten verstehen und Angreifer früher in der Kill Chain aufspüren und stoppen.

Wenn Sie bereit sind, Ihre Vorgehensweise bei der Erkennung von und Reaktion auf Cyberangriffe wie diese zu ändern und einen genaueren Blick darauf zu werfen, wie die Vectra Cognito Platform Tools und Exploits von Angreifern finden kann, vereinbaren Sie noch heute einen Demo-Termin mit Vectra.