Analisi della violazione di SolarWinds: uno sguardo interno ai metodi utilizzati

^Vectra® protegge le aziende rilevando e bloccando i cyberattacchi.

Leader nel settore del rilevamento e della risposta di rete (NDR), Vectra® AI protegge i vostri dati, sistemi e infrastrutture. Vectra AI consente al team SOC di scoprire e rispondere rapidamente ai potenziali aggressori, prima che agiscano.

Vectra AI identifica rapidamente comportamenti e attività sospette sulla vostra rete estesa, sia in sede che nel cloud. Vectra li individua, li segnala e avvisa il personale addetto alla sicurezza affinché possa reagire immediatamente.

Vectra AI è la sicurezza che pensa®. Utilizza l'intelligenza artificiale per migliorare il rilevamento e la risposta nel tempo, eliminando i falsi positivi in modo da potersi concentrare sulle minacce reali.

I modelli di rilevamento di Vectra AI forniscono un early warning in tempo reale e una visibilità continua sulla progressione dell'attacco, da on-premise a cloud , senza alcuna dipendenza da IoC, firme o altri aggiornamenti del modello.

ALTARE

• Sono stati utilizzati diversi canali di comunicazione, fasi e strumenti per stabilire un controllo interattivo, con la tastiera. Ogni fase è stata progettata per ridurre al minimo le possibilità di rilevamento, con tecniche che sconfiggono le firme degli strumenti IDS, l'EDR, la caccia manuale alle minacce e persino gli approcci comuni al rilevamento basato su ML.
• Il DGA utilizzato in questo attacco è diverso: per ogni vittima è stato generato un sottodominio unico, costituito da un ID univoco a livello globale calcolato a partire da attributi locali e da una codifica del nome dell'host vittima.
• L'intelligenza artificiale di Vectra si accorgerà delle tattiche di evasione applicate e rileverà i tunnel non appena saranno attivi.
• Vectra protegge in modo esclusivo l'intera rete di connettività ibrida, on-premise e cloud con modelli comportamentali di apprendimento che comprendono sia gli host che le identità, rintracciando e bloccando gli aggressori in una fase precedente della kill chain.

Sintesi

L'hack di SolarWinds Orion, ora noto come Sunburst o Solorigate, illustra chiaramente la necessità di un sistema di rilevamento e risposta della rete (NDR) basato sull'intelligenza artificiale. La sicurezza preventiva e i controlli endpoint , pur avendo alzato il livello, sono insufficienti e i sistemi di rilevamento delle intrusioni (IDS) tradizionali, basati sulle firme, si sono dimostrati ancora una volta inefficaci nel rilevare nuovi attacchi in cui non esistono ancora indicatori di compromissione (IoC).

Gli aggressori di SolarWinds hanno compiuto notevoli sforzi e abilità nell'eludere i controlli preventivi che coinvolgevano sandbox di rete, endpoint e autenticazione multifattoriale (MFA), tra cui:

• controlli approfonditi per garantire che non si trovasse in una sandbox o in un altro ambiente di analisi malware .
• utilizzo della firma del codice e di processi legittimi per eludere i controlli comuni endpoint
• un nuovo dropper in-memory per eludere l'analisi basata su file nella distribuzione del beacon di Command and Control (C2)
• Bypass dell'MFA utilizzando chiavi di firma della sessione SAML (Security Assertion Markup Language) rubate.

Il livello di abilità e concentrazione richiesto per aggirare in modo pulito i controlli endpoint è un tributo ai recenti progressi nell'Endpoint Detection and Response (EDR). Tuttavia, ci ricorda anche che un avversario determinato e sofisticato sarà sempre in grado di aggirare la prevenzione e i controlli endpoint .

Sfruttare il rilevamento e la risposta della rete, dove per rete si intende tutto ciò che è esterno all'endpointun approccio migliore per difendersi da questa classe di attacchi. I modelli di rilevamento dell Vectra AI forniscono un'allerta precoce in tempo reale e una visibilità continua lungo tutta la progressione dell'attacco, dall'on-premise al cloud , senza alcuna dipendenza da IoC, firme o altri aggiornamenti del modello. Tutto ciò consente di identificare e bloccare attacchi come Sunburst/Solorigate/SolarWinds prima che il danno sia fatto.

Mappatura della progressione degli attacchi dall'on-premise al cloud

L'obiettivo della compromissione del codice di Orion era quello di stabilire un canale C2 affidabile e furtivo dagli aggressori a un componente dell'infrastruttura fidato e privilegiato all'interno del data center - SolarWinds - che avrebbe fornito agli aggressori sia un account privilegiato iniziale, sia un punto di snodo per portare avanti l'attacco.

Sono stati utilizzati diversi canali di comunicazione, fasi e strumenti per stabilire un controllo interattivo, con la tastiera. Ogni fase è stata progettata per ridurre al minimo le possibilità di rilevamento, con tecniche che sconfiggono le firme degli strumenti IDS, l'EDR, la caccia manuale alle minacce e persino gli approcci comuni al rilevamento basato su ML.

Di seguito, illustriamo la progressione dell'attacco, dalla backdoor iniziale alla creazione di un accesso persistente agli ambienti cloud , con un focus specifico su Microsoft Office 365/email, che sembra essere stato un obiettivo chiave degli attacchi.

La copertura di Vectra AI , che non si basa su IoC o firme, inizia non appena viene stabilito il canale C2 iniziale. La combinazione di comportamenti osservati direttamente sul server SolarWinds ha fatto sì che questo venisse classificato come "Critico" ancor prima che si verificasse un movimento laterale, consentendo un contenimento precoce. Se l'attacco dovesse progredire, ulteriori rilevamenti fornirebbero piena visibilità su ogni fase successiva, anche quando l'attacco si sposta verso il cloud e Office 365.

Stabilire un canale C2 furtivo

Il canale C2 non è solo accuratamente progettato per eludere le firme, ma anche semplici ma comuni approcci di ML. I modelli C2 di Vectra utilizzano un approccio AI più sofisticato, in grado di vedere attraverso le tattiche di evasione per rilevare il C2 sottostante.

L'algoritmo di generazione dei domini che non si comporta come un DGA

Non appena la backdoor si attiva, viene utilizzato un DGA per reindirizzare l'infrastruttura C2 principale degli aggressori. Mentre il dominio contattato dalla backdoor è generato dinamicamente, questo DGA è diverso dalla maggior parte degli altri. I DGA sono tipicamente utilizzati dalle botnet per rimanere al passo con i feed di informazioni sulle minacce e le blocklist. Il sistema vittima passa attraverso molti domini generati in modo algoritmico e dall'aspetto casuale, la maggior parte dei quali restituisce risposte NXDOMAIN, finché non risolve il dominio C2 attualmente attivo.

Tuttavia, il DGA utilizzato in questo attacco era diverso: per ogni vittima veniva generato un singolo sottodominio unico, costituito da un ID unico a livello globale calcolato in base agli attributi locali e a una codifica del nome host della vittima. La backdoor ha lanciato segnali a intervalli casuali verso questo singolo dominio. Ogni volta il dominio veniva risolto con successo. La vittima ha continuato il beacon DNS fino a quando non ha ricevuto una risposta CNAME, che è stato il segnale per passare alla fase successiva dell'attacco e ha fornito la connessione al dominio C2 primario.

Il beacon DNS è stato progettato in modo tale da essere quasi impossibile da rilevare dalle soluzioni di sicurezza:

• Il dominio in uso era vecchio di anni ed era stato spostato nello spazio IP di Microsoft circa 2 mesi prima dell'utilizzo iniziale, vanificando gli approcci di reputazione o di invecchiamento del dominio.
• Non sono stati restituiti NXDOMAIN, togliendo un segnale primario per il rilevamento della DGA comune.
• Il dominio generato dall'algoritmo era un sottodominio profondo (ad esempio 3mu76044hgf7shjf.appsync-api.us-est-2.avsvmcloud.com). Molti servizi legittimi utilizzano la randomizzazione a questo livello e quindi il rilevamento della randomizzazione sarebbe estremamente rumoroso e poco pratico.
• I segnalatori di un singolo sottodominio con un'unica informazione eludono i rilevatori di tunnel DNS che cercano sottodomini diversi da utilizzare per codificare più informazioni.

Nonostante i metodi utilizzati dagli aggressori, questa fase dell'attacco viene rilevata con precisione da Vectra Threat Intelligence e da modelli personalizzati basati su IoC noti.

Passaggio a HTTPS

Una volta attivato il canale C2, il binario stabilisce un tunnel HTTPS verso il dominio indicato dalla risposta CNAME al beacon DNS. I tunnel HTTPS offrono una maggiore interattività, un trasferimento di dati più efficiente e sono più difficili da rilevare rispetto ai tunnel DNS.

I modelli di rilevamento AI di Vectra entrano in funzione non appena viene stabilito il tunnel HTTPS.

La fase iniziale HTTPS utilizza un tunnel completamente personalizzato con una velocità massima di trasmissione lenta (1 minuto, il che significa scarsa interattività) e un set di funzionalità limitato. Sembra essere stato utilizzato per due scopi principali:

(1) Raccogliere ulteriori dettagli sul server SolarWinds compromesso, compreso un account amministratore.

(2) Scaricare il dropper TEARDROP e installare un tunnel HTTPS Cobalt Strike personalizzato per eludere le firme degli strumenti.

Dopo che il tunnel HTTPS di Cobalt Strike è stato stabilito, le fasi attive, mano sulla tastiera, della progressione dell'attacco hanno invece fatto leva su questo.

Entrambi i tunnel HTTPS utilizzano metodi relativamente standard per comunicare, trasferendo comandi e risultati attraverso un beacon periodico e crittografato. L'innovazione in questo strumento è minima.

Tuttavia, come per il beacon DNS, i domini sono stati scelti per ridurre al minimo la probabilità di rilevamento: i domini erano tutti ben stagionati/anziani e ospitati negli spazi IP di Amazon AWS. Questa semplice tattica è in grado di eludere, sorprendentemente, non solo i sistemi passivi di DNS e reputazione, ma anche la maggior parte dei sistemi di rilevamento basati su ML. Perché? La maggior parte dei sistemi di rilevamento ML inizia trovando i beacon in un ambiente, ma a causa dell'enorme numero di beacon legittimi presenti nelle reti, questi modelli hanno bisogno di un modo per scegliere quali beacon segnalare e quali ignorare.

Un modo semplicistico per affrontare questo problema consiste nell'avvisare solo i beacon che utilizzano domini con meno di qualche settimana, dando di fatto il via libera a qualsiasi dominio con un'età anche modesta. È anche comune inserire nella whitelist alcuni intervalli di IP dei CSP, soprattutto da dispositivi mobili. Questo approccio funziona bene per la maggior parte dei team rossi ma, come dimostra chiaramente questo caso, non difende da un avversario sofisticato che ha pianificato l'attacco in anticipo.

Vectra utilizza un rilevatore di beacon come base per il rilevamento dei tunnel. Tuttavia, invece di adottare l'approccio descritto sopra, i modelli di tunnel HTTP/S nascosti di Vectra utilizzano una rete neurale ricorrente LSTM avanzata applicata ai metadati del traffico delle serie temporali per identificare l'interazione C2 attraverso il beacon, ignorando elementi come i ticker azionari. Di conseguenza, l'intelligenza artificiale di Vectra è in grado di individuare le tattiche di evasione applicate in questo caso e di rilevare i tunnel non appena si attivano.

L'IA di Vectra si accorgerà delle tattiche di evasione applicate in questo caso e rileverà i tunnel non appena saranno attivi.

Progredire nell'attacco: L'identità e il perno del cloud

Una volta che il canale C2 è stato stabilito con successo, viene utilizzato per fornire il controllo pratico della tastiera per far avanzare l'attacco. Dato l'elemento umano, i dettagli variano da ambiente ad ambiente. Tuttavia, vi è una progressione comune delineata nella ricerca sui TTP di Cozy Bear in generale e sull'attacco SolarWinds in particolare.

Spostarsi lateralmente per raggiungere l'amministrazione del dominio

Un aggressore che controlla l'infrastruttura fidata (SolarWinds) con accesso a vari account privilegiati, compresi gli account di servizio SolarWinds e, in alcuni casi, anche gli account di amministrazione, offre un percorso breve per ottenere le autorizzazioni di amministratore del dominio completo.

Una versione offuscata di ADfind è stata comunemente segnalata come parte degli strumenti di attacco, utilizzata per l'enumerazione dei domini, compresa l'identificazione degli account di amministrazione dei domini. Vectra copre l'enumerazione dei domini con il modello di rilevamento delle query LDAP sospette .

Data la comprensione delle relazioni di gruppo e degli account admin del dominio, il passo logico successivo è quello di utilizzare RPC per mappare il percorso verso l'admin del dominio. Vectra lo rileva con un modello RPC Recon .

Una volta mappato il percorso, inizierà il movimento laterale. Le ricerche suggeriscono che la tattica più comunemente utilizzata è quella del task scheduler invocato tramite Windows Management Instrumentation (WMI) con account rilevati sul server SolarWinds. Vectra offre una copertura di rilevamento per questo movimento laterale in due modi:

• Anomalie di accesso privilegiato: Vectra identifica e mappa le relazioni tra tutti gli account privilegiati, i servizi e gli host. I tentativi di utilizzare account e servizi privilegiati in modo insolito, compresa l'esecuzione di comandi, attivano il rilevamento. Per una descrizione più dettagliata di Privileged Access Analytics di Vectra, consultate il nostro solution brief su zero trust e accesso privilegiato.
• Esecuzione remota sospetta: Questo modello si concentra in particolare sugli UUID RPC associati all'esecuzione di codice remoto tramite DCE/RPC, WMI e DCOM, con apprendimenti su una tupla [src, dst, account, UUID]. L'esecuzione di codice remoto al di fuori degli apprendimenti del modello attiverà il rilevamento.

SAML Golden Ticket e modifica dei trust di federazione

Con un account Domain Admin in mano, gli aggressori hanno cercato opportunità per estendere la loro presenza negli ambienti cloud . Data la prevalenza dell'MFA su Azure AD e altri provider di identità federate, gli aggressori hanno invece preso di mira e rubato i certificati di firma SAML per falsificare nuovi token SAML, utilizzati per aggirare l'MFA. Il certificato di firma SAML è disponibile in memoria sul server Active Directory Federation Services (ADFS) o simili. Le tecniche per spostarsi lateralmente al server ADFS sarebbero le stesse di quelle per arrivare all'amministratore del dominio, ma ora con un account più potente.

La copertura Vectra per il passaggio al server ADFS/SAML è la stessa delle fasi precedenti, in particolare Privileged Access Anomalies e Suspicious Remote Execution.

Il certificato di firma SAML viene quindi utilizzato per falsificare un token SAML, consentendo l'accesso dell'amministratore globale ad Azure AD. Azure AD Suspicious Sign-On di Vectra rileva questo accesso, analizzando diverse dimensioni dell'accesso, tra cui IP, geolocalizzazione, metodi di accesso e host, per identificare gli accessi insoliti.

Una volta ottenuto l'accesso amministratore globale, l'avversario ottiene l'accesso persistente modificando la configurazione dei domini Federated Trust. Ciò può essere ottenuto aggiungendo nuovi domini fidati che l'attaccante controlla, oppure nuove Autorità di certificazione (CA) fidate per la creazione e la firma di nuovi certificati. Queste modifiche consentono all'aggressore di emettere nuovi token SAML su base continuativa senza dover accedere all'ADFS di cui sopra. Vectra rileva le modifiche insolite alla configurazione di Federated Trust e ad altre configurazioni di Azure AD con il modello di rilevamento Suspicious Azure AD Operation .

Persistenza dell'accesso alla posta elettronica e ai dati di Office 365

Office 365 contiene una grande quantità di dati, che nel 2020 è stata ulteriormente incrementata dall'aumento della collaborazione e della condivisione di documenti per supportare il lavoro in remoto durante la pandemia COVID-19. Ottenere un accesso continuo alla posta elettronica sembra essere stato un obiettivo chiave degli aggressori, almeno per quanto riguarda obiettivi specifici del governo federale degli Stati Uniti. Una tecnica scoperta prevedeva la modifica delle credenziali e/o delle chiavi X509 per le applicazioni OAuth con accesso in lettura/scrittura alle e-mail (ad esempio, le applicazioni di archiviazione e-mail). Queste modifiche garantivano un facile accesso a tutte le comunicazioni e-mail su base continuativa tramite chiamate API, con bassissime possibilità di rilevamento.

Azure AD Redundant Access Creation di Vectra si attiverà su questo tipo di modifiche alle autorizzazioni delle app OAuth.

Con l'accesso a Office 365 a livello di amministratore, è possibile utilizzare una serie di altre tecniche per mantenere l'accesso alle e-mail e ad altri dati di Office 365. Queste includono:

• Impostazione di ricerche di eDiscovery e Compliance per cercare informazioni specifiche in tutti i canali di Office 365: e-mail, Teams, OneDrive, SharePoint. Queste applicazioni sono coperte dai modelli di rilevamento delle ricerche sospette di eDiscovery e delle ricerche sospette di conformità di Vectra.
• La creazione di flussi Power Automate consente di esfiltrare automaticamente i dati, tramite HTTP o verso destinazioni esterne come gli account Google Drive o Box controllati dagli aggressori. Il rilevamento di Power Automate sospetto di Vectra affronta questo vettore.
• Sono possibili anche altre tecniche meno furtive, come l'inoltro di e-mail o le regole di trasporto. Anche queste sono coperte dai modelli di rilevamento di Vectra: Inoltro di e-mail sospette e Regola di trasporto sospetta.

Il valore della NDR

L'hack di SolarWinds dimostra l'utilità e la necessità delle soluzioni NDR quando si tratta di rilevare violazioni che hanno aggirato la sicurezza preventiva e di proteggere i dati. Le tecnologie basate sulla rete sono fondamentali per contrastare la crescente sofisticazione delle minacce.

Vectra protegge in modo esclusivo l'intera rete di connettività ibrida, on-premise e cloud con modelli comportamentali di apprendimento che comprendono sia gli host che le identità, rintracciando e bloccando gli aggressori in una fase precedente della kill chain.

Se siete pronti a cambiare il vostro approccio al rilevamento e alla risposta a cyberattacchi come questi, e per vedere da vicino come la Vectra Cognito Platform può trovare gli strumenti e gli exploit degli aggressori, programmate una demo con Vectra oggi stesso.