A Sunburst-támadás háttere

A támadást követően pár nappal, december 13-án értesültünk a károk nagyságrendjéről: a FireEye-on keresztül világszerte érintett volt több mint 18 000 vállalat és intézmény, jelesül körülbelül negyven USA kormányzati szerv, beleértve a Belbiztonsági Minisztériumot és a Nemzeti Nukleáris Biztonsági Igazgatóságot (NNSA).

Mi a közös bennük?

Mindegyik a SolarWinds nevű cég által gyártott Orion szoftver informatikai rendszerén belül található. A SolarWinds sokféle központi hálózat-, rendszer- és infrastruktúramenedzsmentet kínáló üzleti szoftvert gyárt. Az előzetes vizsgálatok arra utalnak, hogy a támadásért az APT29 (Cozy Bear) csoport a felelős.

A Sunburst támadás kiindulási vektora

Úgy tűnik, hogy a támadás kiindulási vektora ennek az IT-monitorozó alkalmazásnak a mélyreható kompromittálása volt. Az érintett Orion verziók egészen 2019 októberéig nyúlnak vissza.

Technikai értelemben a rosszindulatú program minden bizonnyal az alkalmazás fejlesztési láncába került be, még pontosabban a solarwinds.orion.core.businesslayer.dll könyvtárba. Ez a dll aztán hivatalos SolarWinds tanúsítvánnyal lett hitelesítve, ezáltal megbízható státuszt kapott. A célrendszerre történő telepítés után a bináris fájl regisztrál a rosszindulatú „Beacon” oldalon az avsvmcloud.com domain meghívásával, imitálva egy legitim SolarWinds protokollt. A kiberbűnözők ekkor egy ellenőrző-irányító (C&C) kommunikációt kezdeményeznek az eredeti kapcsolat révén megszerzett más domainekkel és IP-címekkel.

A Sunburst támadás technikai részletei

Rejtőzködés
Ez a malware technológiailag rendkívül fejlett és sokféle rejtőzködő technikát használ, mint például:

• Virtuális dedikált szerver használata C&C kommunikációra olyan IP-címekkel, amelyek földrajzilag megegyeznek az áldozat országával;
• A „last mile” IP rotálása más-más földrajzi pontok között a detektálás korlátozása végett;
• Szteganográfia használata a C&C kommunikáció elrejtésére, a hivatalos „Orion Improvement Protocol”-t használva csatornaként;
• Futtatás észlelése (és leállítása) sandbox típusú környezetekben;
• Álcázó hitelesítési tokenek és accountok használata oldalazó belépések céljából, ugyanis az effajta spoofing által keltett riasztások általában nem elég kritikusak ahhoz, hogy láthatóvá váljanak.

Perzisztencia
A legtöbb célzott támadáshoz hasonlóan a kiberbűnözők egyik fő törekvése bizonyos szintű perzisztenciát elérni az áldozat informatikai rendszeréhez történő hozzáférésben.
Nyilvánvalóan itt is erről van szó. Számos erre utaló mechanizmus derült ki:

• Például kiemelt jogosultsággal rendelkező accountok és hitelesítési tokenek létrehozása az Azure Active Directory-ban (hozzáférés a „Key Vault”-hoz);
• Új „federation trust” hozzáadása az áldozat domainjéhez; pontosabban új Active Directory Federated Services (ADFS) TrustedRealm objektum hozzáadása új root tanúsítványként;
• További trójai programok telepítése stb.

Kompromittáltsági indikátorok
A támadás különböző kompromittáltsági indikátorait (IoC) közzétette a FireEye, és itt elérhetők:

• Alkalmazható ellenlépések a Sunburst malware észlelésére: github.com/fireeye/sunburst_countermeasures
• Alkalmazható ellenlépések a FireEye-tól ellopott Red Team eszközök használatának észlelésére:
/>github.com/fireeye/red_team_tool_countermeasures

A Stormshield védekezési módszerei a Sunburst támadás ellen

Ezeknek a kompromittáltsági indikátoroknak a használatával kifejlesztettük az észlelési szignatúrákat a Stromshield Network Security (SNS) hálózatvédelmi és a Stormshield Endpoint Security (SES) végpontvédelmi megoldásainkhoz. Alább olvashatók ezeknek a megoldásoknak a részletei, az általános javaslatokkal együtt.

Védekezés a Stromshield Network Security-vel

Az SNS esetében számos védelmi terület aktiválható:

• Frissíteni kell az SNS (alap és opcionális) integrált antivírus adatbázist, hogy magába foglalja az új Sunburst szignatúrákat (sérült SolarWinds és FireEye Red Team fájlok). Ez a ClamAV 26018 adatbázisverziót és annál frissebbeket, valamint a Kaspersky december 13-i szignatúrafrissítését jelenti.
• A „Malware” kategória az Extended Web Control opciónk esetében tartalmazza a Sunburst által C&C-re és a „Beacon”-nel történő kommunikációra használt rosszindulatú URL-eket. Ha nem iratkozott fel erre az opcióra, az alábbi URL-eket tudja blokkolni az egyéni kategória használatával:

o avsvmcloud[.]com
o freescanonline[.]com
o deftsecurity[.]com
o thedoccloud[.]com
o websitetheme[.]com
o highdatabase[.]com
o incomeupdate[.]com
o databasegalore[.]com
o panhardware[.]com
o zupertech[.]com
o virtualdataserver[.]com
o digitalcollege[.]org

• Végül, kifejlesztettük az alább felsorolt IPS szignatúrákat. Ezek a szignatúrák észlelik a FireEye RedTeam eszközök használatát, valamint az Orion szoftver sérülékenységének a különböző üzemeltetési fázisait:

o http:client.69
o http:client:data.153
o ssl:server:certificate.105
o tcpudp:hostname.156
o http:mix.334
o http:mix.335
o ssl:client:certificate.3

Védekezés a Stromshield Endpoint Security-vel

A 7.2-es verziójú SES megoldásunk, illetve a 2.0-ás verziójú SES Evolution megoldásunk már védelmet kínál a FireEye Red Team eszközök használata és más olyan malware használata ellen, amelyet a sérült Orion verzió hozott létre és hajtott végre a folyamatellenőrzési funkciók és rendszererőforrások használatával.

Azonban a jobb incidensészlelés és -kezelés érdekében integráltunk egy hash adatbázist, amely lefedi az összes jelenleg ismert fájlt a FireEye Red Team eszközökben. Összesen 103 hash lett hozzáadva ehhez a csomaghoz: