Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo

SolarWinds Orion Hack: Cosa sapere e come proteggere la rete

15 dicembre 2020
Luke Richards
Threat Intelligence Lead
SolarWinds Orion Hack: Cosa sapere e come proteggere la rete

Cosa è successo e chi è stato?

Il 13 dicembre il Washington Post ha riferito che il gruppo russo APT29 o Cozy Bear ha violato i dipartimenti del Tesoro e del Commercio degli Stati Uniti e che l'FBI ipotizza che l'attacco sia iniziato già nel marzo 2020.

FireEye ha riferito che la violazione ha avuto origine da un attacco alla catena di approvvigionamento ben eseguito attraverso il software SolarWinds Orion per fornire un malware denominato SUNBURST. SolarWinds Orion è un popolare strumento di amministrazione IT utilizzato da oltre 300.000 organizzazioni in tutto il mondo, tra cui 425 delle Fortune 500, le 10 maggiori società di telecomunicazioni, ogni ramo delle forze armate statunitensi e agenzie governative statunitensi come la NSA, il Dipartimento di Stato, il Pentagono, il Dipartimento di Giustizia e la Casa Bianca. Per questo motivo, la Cybersecurity and Infrastructure Security Agency (CISA) del governo degli Stati Uniti ha emesso una direttiva di emergenza che invita "tutte le agenzie federali civili degli Stati Uniti a esaminare le proprie reti alla ricerca di indicatori di compromissione e a scollegare o spegnere immediatamente i prodotti SolarWinds Orion".

L'attore nazionale ha compromesso la soluzione SolarWinds Orion e ha creato una backdoor in Orion già nel marzo 2020. Questa è stata poi utilizzata per infettare ulteriormente gli obiettivi dopo l'installazione dell'aggiornamento infetto. Poiché il software è stato compromesso a livello di fornitore, è stato firmato digitalmente con firme valide e non è stato rilevato dalle protezioni antivirus o del sistema operativo.

SolarWinds ha emesso un avviso che informa che il software SolarWinds Orion Platform rilasciato tra marzo 2020 e giugno 2020 è stato colpito.

Come si è svolta la vicenda e perché è indispensabile monitorare gli utenti nel cloud

Una volta che la vittima ha installato il software compromesso, il gruppo APT ha continuato a compromettere ulteriormente la rete, utilizzando account privilegiati per spostarsi lateralmente e ottenere infine le credenziali di un account amministratore di dominio o il certificato di firma SAML. Questo ha permesso agli aggressori di spostarsi lateralmente verso qualsiasi dispositivo on-premises o qualsiasi infrastruttura cloud . Questo livello di accesso potrebbe essere sfruttato per creare nuovi account privilegiati e sviluppare un punto d'appoggio più solido all'interno di un'organizzazione. L'aggressore è stato osservato da Microsoft mentre eseguiva attività di Domain Federation trust, al fine di ottenere un punto d'appoggio, nonché le tecniche precedentemente menzionate per ottenere un punto d'appoggio e una compromissione.

Vectra Cognito offre diverse funzionalità ai clienti che desiderano indagare o rilevare se sono stati compromessi da questo attacco.

Panoramica dei rilevamenti di Vectra

Gli strumenti e le tecniche di APT 29 sono altamente sofisticati e sono passati inosservati per un lungo periodo di tempo. Le tattiche del gruppo rimangono simili alle precedenti compromissioni APT:

  1. Host di compromesso
  2. Utilizzare l'host per rubare le credenziali/elevare i privilegi
  3. Utilizzare le nuove credenziali per stabilire un punto d'appoggio in varie parti della rete.
  4. Muoversi nell'ambiente cloud
  5. Rubare i dati

I clienti di Vectra sono protetti dagli attacchi che sfruttano le tattiche e le tecniche segnalate. Di seguito è riportata una panoramica dei rilevamenti guidati dall'intelligenza artificiale di Vectra basati sulle TTP.

Rilevamenti basati sull'attività di rete

Accesso remoto esterno / Tunnel HTTP nascosto / Tunnel HTTP nascosto

  • Sono previste comunicazioni e interazioni C2 con l'host infetto. Questo rilevamento sarà molto probabilmente collegato al dominio avsvmcloud[.]com.

Vectra Threat Intel Match

  • Le destinazioni dannose rilevanti coinvolte in questa campagna sono monitorate nel feed di intelligence sulle minacce di Vectra.

Ricognizione RPC / Ricognizione RPC mirata

  • Gli aggressori utilizzeranno gli strumenti Microsoft integrati per eseguire la ricognizione e tentare lo sfruttamento di un obiettivo.

Esecuzione remota sospetta

  • Gli aggressori creeranno nuovi punti di appoggio utilizzando impianti e l'esecuzione di codice da remoto

Anomalie nell'accesso privilegiato

  • Gli aggressori sfrutteranno gli account di servizio e in particolare gli account SolarWinds per muoversi lateralmente contro i server dell'infrastruttura.
  • Gli aggressori utilizzeranno nuovi account con privilegi elevati che verranno generati e utilizzati contro gli host e le infrastrutture esistenti per muoversi attraverso la rete.

Rilevamenti basati sull'attività di Office 365 e Azure AD

Attività di accesso sospette

  • È noto che gli aggressori utilizzano gli account cloud per eseguire azioni amministrative contro le infrastrutture delle organizzazioni. Pertanto, questo rilevamento si attiverebbe se il gruppo utilizzasse l'account da un luogo esterno all'organizzazione.

Creazione dell'account amministratore

  • Gli aggressori sono stati visti creare account amministrativi.

Account amministratore appena creati

  • Analogamente al rilevamento precedente, questo indicherebbe l'utilizzo di un account appena creato da parte dell'avversario.
  • Funzionamento sospetto di Azure AD
  • Gli aggressori sono stati osservati mentre creavano nuovi Federation Trust ed eseguivano altri tipi di operazioni di alto livello su Azure AD per mantenere un punto d'appoggio.

Permessi di applicazione a rischio

  • Gli aggressori hanno sfruttato applicazioni dannose con autorizzazioni estese per mantenere la persistenza in un ambiente.

Cosa cercare nel vostro ambiente:

I clienti di Stream o Recall e coloro che utilizzano strumenti che raccolgono metadati di rete devono immediatamente cercare nel loro ambiente quanto segue;

Esaminare l'attività relativa al dominio collegato APT29 nei flussi di metadati di iSession.

  • resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (senza le parentesi quadre)
  • resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (senza le parentesi quadre)

Esaminare le attività inattese dai sistemi SolarWinds in tutti i metadati.

  • nome_originale:(solarwinds_01* O SolarWinds_01*)

Esaminare l'attività relativa agli account AD amministrativi nei metadati Kerberos_txn.

  • client:(*admin_account* O *Admin_Account*)

Esaminare l'attività relativa agli account di amministrazione nei metadati NTLM

  • nome utente:(*admin_account* O *Admin_Account*)

Esaminare l'attività relativa agli account di amministrazione nei metadati RDP (si noti che i cookie RDP sono troncati a 9 caratteri).

  • cookie:(admin_acc OR Admin_Acc)
  • Il campo del cookie può anche includere il nome del dominio prima del nome utente; se questo sembra essere il caso, eseguire ricerche in cui un server SolarWinds è la fonte

Conclusione

SolarWinds invita tutti i clienti a eseguire l'aggiornamento alla versione 2020.2.1 HF 1 di Orion Platform il prima possibile per garantire la sicurezza del proprio ambiente, oppure a disabilitare l'accesso a Internet per Orion Platform e a limitare le porte e le connessioni solo a quelle necessarie.

Se siete pronti a cambiare il vostro approccio al rilevamento e alla risposta a cyberattacchi come questi, e per vedere da vicino come Cognito può trovare gli strumenti e gli exploit degli aggressori, programmateoggi stesso una democon Vectra.

DOMANDE FREQUENTI