Décortiquer la faille de SolarWinds : un regard intérieur sur les méthodes utilisées

^Vectra® protège les entreprises en détectant et en stoppant les cyberattaques.

Leader sur détection et réponse aux incidents (NDR), Vectra® AI protège vos données, vos systèmes et votre infrastructure. Vectra AI permet à votre équipe SOC de découvrir et de répondre rapidement aux attaquants potentiels, avant qu'ils n'agissent.

Vectra AI identifie rapidement les comportements et activités suspects sur votre réseau étendu, que ce soit sur site ou sur le site cloud. Vectra les trouve, les signale et alerte le personnel de sécurité pour qu'il puisse réagir immédiatement.

Vectra AI est Security that thinks® (la sécurité qui pense). Elle utilise l'intelligence artificielle pour améliorer la détection et la réponse au fil du temps, en éliminant les faux positifs afin que vous puissiez vous concentrer sur les vraies menaces.

Les modèles de détection Vectra AI fournissent une alerte précoce en temps réel et une visibilité continue tout au long de la progression de l'attaque, de sur site à cloud , sans dépendre d'IoC, de signatures ou d'autres mises à jour de modèles.

FAITS MARQUANTS

• De multiples canaux de communication, phases et outils ont été utilisés pour établir un contrôle interactif au clavier. Chaque phase a été conçue pour minimiser les chances de détection, avec des techniques qui déjouent les signatures des outils IDS, l'EDR, la chasse manuelle aux menaces et même les approches courantes de la détection basée sur le ML.
• La DGA utilisée dans cette attaque était différente : un sous-domaine unique était généré pour chaque victime, composé d'un identifiant unique au niveau mondial calculé à partir d'attributs locaux et d'un codage du nom d'hôte de la victime.
• L'intelligence artificielle de Vectra ne se laissera pas impressionner par les tactiques d'évasion utilisées et détectera les tunnels dès qu'ils seront actifs.
• Vectra protège de manière unique l'ensemble du réseau de connectivité hybride, sur site et cloud grâce à des modèles comportementaux d'apprentissage qui comprennent à la fois les hôtes et les identités, ce qui permet de suivre et d'arrêter les attaquants plus tôt dans la chaîne d'exécution.

Résumé

Le piratage de SolarWinds Orion, désormais connu sous le nom de Sunburst ou Solorigate, illustre clairement le besoin d'une détection et réponse aux incidents (NDR) alimentée par l'IA. Les contrôles préventifs de sécurité et endpoint , bien qu'ils relèvent la barre, sont insuffisants, et les anciens systèmes de détection d'intrusion (IDS) basés sur des signatures se sont à nouveau révélés inefficaces pour détecter de nouvelles attaques lorsque les indicateurs de compromission (IoC) n'existent pas encore.

Les attaquants de SolarWinds ont déployé des efforts et des compétences considérables pour échapper aux contrôles préventifs qui impliquent des bacs à sable de réseau, endpoint, et l'authentification multifactorielle (MFA), y compris :

• des vérifications approfondies pour s'assurer qu'il ne se trouvait pas dans un bac à sable ou dans un autre environnement d'analyse malware
• utilisation de la signature de code et de processus légitimes pour contourner les contrôles courants de endpoint
• nouveau dropper en mémoire pour éviter l'analyse des fichiers lors de la distribution de la balise Command and Control (C2)
• Contournement du MFA par le vol des clés de signature de session SAML (Security Assertion Markup Language)

Le niveau de compétence et de concentration requis pour contourner proprement les contrôles endpoint est un hommage aux récents progrès réalisés dans le domaine de la détection et de la réponse (EDR) Endpoint . Cependant, il rappelle également qu'un adversaire déterminé et sophistiqué sera toujours en mesure de contourner les contrôles de prévention et endpoint .

Tirer parti de détection et réponse aux incidents- où le réseau est défini au sens large comme tout ce qui se trouve à l'extérieur de endpoint- est une meilleure approche pour se défendre contre cette catégorie d'attaques. Les modèles de détection de Vectra AI fournissent une alerte précoce en temps réel et une visibilité continue tout au long de la progression de l'attaque, de sur site à cloud , sans dépendre des IoC, des signatures ou d'autres mises à jour de modèles. Tout cela permet d'identifier et d'arrêter les attaques telles que Sunburst/Solorigate/SolarWinds avant qu'elles ne fassent des dégâts.

Cartographie de la progression de l'attaque, de l'installation sur site à l'installation dans les locaux de l'entreprise. cloud

L'objectif de la compromission du code Orion était d'établir un canal C2 fiable et furtif entre les attaquants et un composant d'infrastructure privilégié et de confiance à l'intérieur du centre de données - SolarWinds - qui fournirait aux attaquants à la fois des comptes privilégiés initiaux, ainsi qu'un point de pivot pour poursuivre l'attaque.

De multiples canaux de communication, phases et outils ont été utilisés pour établir un contrôle interactif au clavier. Chaque phase a été conçue pour minimiser les chances de détection, avec des techniques qui déjouent les signatures des outils IDS, l'EDR, la chasse manuelle aux menaces et même les approches courantes de la détection basée sur le ML.

Nous décrivons ci-dessous la progression de l'attaque, depuis la porte dérobée initiale jusqu'à l'établissement d'un accès persistant aux environnements cloud , en mettant l'accent sur Microsoft Office 365/courrier électronique, qui semble avoir été un objectif clé des attaques.

La couverture Vectra AI - sans recours aux IoC ou aux signatures - commence dès que le canal C2 initial est établi. La combinaison des comportements observés directement sur le serveur SolarWinds a permis de le classer comme " critique " avant même qu'un mouvement latéral ne se produise, ce qui a permis de l'endiguer rapidement. Si l'attaque devait progresser, des détections supplémentaires fourniraient une visibilité complète sur chaque phase ultérieure, même si l'attaque pivote vers cloud et Office 365.

Mise en place d'un canal C2 furtif

Le canal C2 n'est pas seulement soigneusement conçu pour échapper aux signatures, mais aussi aux approches de ML simples mais courantes. Les modèles C2 de Vectra utilisent une approche d'IA plus sophistiquée, qui permet de voir à travers les tactiques d'évasion pour détecter le C2 sous-jacent.

L'algorithme de génération de domaines qui ne se comporte pas comme un DGA

Dès que la porte dérobée est activée, un DGA est utilisé pour rediriger l'infrastructure C2 principale des attaquants. Bien que le domaine contacté par la porte dérobée soit généré dynamiquement, cette DGA est différente de la plupart des autres. Les DGA sont généralement utilisés par les botnets pour garder une longueur d'avance sur les flux d'informations et les listes de blocage des menaces. Le système victime passe par de nombreux domaines générés de manière algorithmique et aléatoire - dont la plupart renvoient des réponses NXDOMAIN - jusqu'à ce qu'il finisse par résoudre le domaine C2 actuellement actif.

Cependant, la DGA utilisée dans cette attaque était différente : un sous-domaine unique était généré pour chaque victime, composé d'un identifiant unique au niveau mondial calculé à partir des attributs locaux et d'un codage du nom d'hôte de la victime. La porte dérobée a envoyé des balises à intervalles aléatoires vers ce domaine unique. Le domaine était résolu avec succès à chaque fois. La victime continuait à envoyer des balises DNS jusqu'à ce qu'elle reçoive une réponse CNAME, ce qui était le signal pour passer à la phase suivante de l'attaque et fournissait la connexion principale au domaine C2.

La balise DNS a été conçue de manière à être pratiquement impossible à détecter par les solutions de sécurité :

• Le domaine utilisé datait de plusieurs années et avait été transféré dans l'espace IP de Microsoft environ deux mois avant son utilisation initiale, ce qui mettait en échec les approches fondées sur la réputation ou le vieillissement du domaine.
• Aucun NXDOMAIN n'a été renvoyé, ce qui supprime un signal primaire pour la détection commune de la DGA.
• Le domaine généré par l'algorithme était un sous-domaine profond (par exemple, 3mu76044hgf7shjf.appsync-api.us-est-2.avsvmcloud.com). De nombreux services légitimes utilisent la randomisation à ce niveau et la détection de la randomisation serait donc extrêmement bruyante et peu pratique.
• Les balises sont envoyées à un seul sous-domaine avec un seul élément d'information, ce qui permet d'éviter les détecteurs de tunnels DNS qui recherchent des sous-domaines différents qui seraient utilisés pour encoder davantage d'informations.

Malgré les méthodes utilisées par les attaquants, cette phase de l'attaque est détectée avec précision par Vectra Threat Intelligence et des modèles personnalisés basés sur des IoC connus.

Passer à HTTPS

Une fois le canal C2 activé, le binaire établit un tunnel HTTPS vers le domaine indiqué par la réponse CNAME à la balise DNS. Les tunnels HTTPS offrent une plus grande interactivité, un transfert de données plus efficace et sont plus difficiles à détecter que les tunnels DNS.

Les modèles de détection de l'IA de Vectra passent à la vitesse supérieure dès que le tunnel HTTPS est établi.

La phase initiale HTTPS utilise un tunnel entièrement personnalisé avec un taux de balise maximum lent (1 minute, ce qui signifie une faible interactivité) et un ensemble de fonctionnalités limité. Il semble avoir été utilisé à deux fins principales :

(1) Recueillir des informations supplémentaires sur le serveur SolarWinds compromis, y compris un compte administrateur.

(2) Télécharger le dropper TEARDROP et installer un tunnel HTTPS Cobalt Strike personnalisé pour échapper aux signatures des outils.

Une fois le tunnel HTTPS Cobalt Strike établi, les phases actives de la progression de l'attaque, avec le clavier à la main, ont tiré parti de ce tunnel.

Les deux tunnels HTTPS utilisent des méthodes relativement standard pour communiquer, en transférant les commandes et les résultats par l'intermédiaire d'une balise périodique cryptée. Il n'y a que peu ou pas d'innovation dans cet outil.

Toutefois, comme pour la balise DNS, les domaines ont été choisis pour minimiser la probabilité de détection : les domaines étaient tous bien rodés/anciens et hébergés dans les espaces IP d'Amazon AWS. Cette tactique simple échappera, de manière surprenante, non seulement aux systèmes passifs de DNS et de réputation, mais aussi à la plupart des systèmes de détection basés sur la ML. Pourquoi ? La plupart des systèmes de détection ML commencent par trouver des balises dans un environnement, mais en raison du nombre considérable de balises légitimes dans les réseaux, ces modèles ont besoin d'un moyen de choisir les balises sur lesquelles alerter et celles qu'il faut ignorer.

Une façon simpliste de résoudre ce problème consiste à n'alerter que les balises utilisant des domaines datant de moins de quelques semaines, ce qui revient à donner un laissez-passer à tous les domaines, même les plus anciens. Il est également courant de mettre sur liste blanche certaines plages d'adresses IP de fournisseurs de services de communication, en particulier à partir d'appareils mobiles. Cette approche fonctionne bien pour la plupart des équipes rouges mais, comme le montre clairement ce cas, elle ne permet pas de se défendre contre un adversaire sophistiqué qui a planifié l'attaque à l'avance.

Vectra utilise un détecteur de balises comme base pour la détection des tunnels. Cependant, plutôt que d'adopter l'approche décrite ci-dessus, les modèles de tunnel HTTP/S caché de Vectra utilisent un réseau neuronal récurrent LSTM avancé appliqué aux métadonnées du trafic en série temporelle pour identifier l'interaction C2 sur la balise tout en ignorant des éléments tels que les téléscripteurs d'actions. Par conséquent, l'IA de Vectra verra à travers les tactiques d'évasion appliquées ici et détectera les tunnels dès qu'ils seront actifs.

L'IA de Vectra verra les tactiques d'évasion appliquées ici et détectera les tunnels dès qu'ils seront actifs.

Progresser dans l'attaque : L'identité et le pivot cloud

Une fois que le canal C2 a été établi avec succès, il est utilisé pour fournir un contrôle direct sur le clavier afin de faire avancer l'attaque. Compte tenu de l'élément humain, les détails varieront d'un environnement à l'autre. Toutefois, la recherche sur les TTP de Cozy Bear en général et sur l'attaque de SolarWinds en particulier a mis en évidence une progression commune.

Déplacement latéral pour accéder à Domain Admin

Un attaquant contrôlant l'infrastructure de confiance (SolarWinds) et ayant accès à divers comptes privilégiés, y compris les comptes de service SolarWinds et, dans certains cas, les comptes d'administrateur, dispose d'un chemin court pour obtenir les autorisations d'administrateur de domaine complet.

Une version obscurcie d'ADfind a été fréquemment signalée comme faisant partie de l'outil d'attaque, utilisé pour l'énumération de domaines, y compris l'identification des comptes d'administrateurs de domaines. Vectra couvre l'énumération de domaines avec le modèle de détection Suspicious LDAP Query .

Si l'on comprend les relations de groupe et les comptes d'administrateur de domaine, l'étape logique suivante consiste à utiliser RPC pour cartographier le chemin vers l'administrateur de domaine. Vectra détecte cela avec un modèle RPC Recon .

Une fois le chemin tracé, les mouvements latéraux commencent. Les recherches suggèrent que le planificateur de tâches invoqué via Windows Management Instrumentation (WMI) avec des comptes découverts sur le serveur SolarWinds est la tactique la plus couramment utilisée. Vectra permet de détecter ce mouvement latéral de deux manières :

• Anomalies d'accès privilégié: Vectra identifie et cartographie les relations entre tous les comptes, services et hôtes privilégiés. Les tentatives d'utilisation de comptes et de services privilégiés de manière inhabituelle, y compris pour exécuter des commandes, déclencheront une détection. Pour une description plus détaillée de l'analyse des accès privilégiés de Vectra, consultez notre dossier sur zero trust et les accès privilégiés.
• Exécution à distance suspecte: Ce modèle se concentre spécifiquement sur les UUID RPC associés à l'exécution de code à distance via DCE/RPC, WMI et DCOM, avec des apprentissages sur un tuple [src, dst, account, UUID]. L'exécution de code à distance en dehors des apprentissages du modèle déclenchera la détection.

Ticket d'or SAML et modification de la confiance dans la fédération

Avec un compte d'administrateur de domaine en main, les attaquants ont cherché des opportunités pour étendre leur présence dans les environnements cloud . Étant donné la prévalence de l'AMF sur Azure AD et d'autres fournisseurs d'identité fédérés, les attaquants ont plutôt ciblé et volé des certificats de signature SAML pour forger de nouveaux jetons SAML utilisés pour contourner l'AMF. Le certificat de signature SAML est disponible en mémoire sur le serveur Active Directory Federation Services (ADFS) ou similaire. Les techniques de déplacement latéral vers le serveur ADFS seraient les mêmes que celles permettant d'accéder à l'administrateur de domaine, mais avec un compte plus puissant.

La couverture de Vectra pour le passage au serveur ADFS/SAML est la même que pour les phases précédentes, à savoir les anomalies d'accès privilégié et l'exécution à distance suspecte.

Le certificat de signature SAML est ensuite utilisé pour forger un jeton SAML, ce qui permet d'accéder à Azure AD en tant qu'administrateur global. Azure AD Suspicious Sign-On de Vectra détecte cet accès, en analysant plusieurs dimensions de l'ouverture de session (IP, géolocalisation, méthodes d'ouverture de session et hôte) afin d'identifier un accès inhabituel.

Une fois l'accès administrateur global obtenu, l'adversaire obtient un accès permanent en modifiant la configuration des domaines Federated Trust. Cela peut être réalisé en ajoutant de nouveaux domaines de confiance que l'attaquant contrôle, ou de nouvelles autorités de certification (AC) de confiance pour créer et signer de nouveaux certificats. Ces changements permettent à l'attaquant d'émettre de nouveaux jetons SAML sur une base continue sans avoir besoin d'accéder à l'ADFS ci-dessus. Vectra détecte les modifications inhabituelles de la configuration de Federated Trust ainsi que d'autres configurations d'Azure AD grâce au modèle de détection Suspicious Azure AD Operation .

Persistance de l'accès aux courriels et aux données d'Office 365

Office 365 contient une grande quantité de données, d'autant plus qu'en 2020, l'augmentation de la collaboration et du partage de documents pour soutenir le travail à distance pendant la pandémie de COVID-19. L'obtention d'un accès permanent au courrier électronique semble avoir été un objectif clé des attaquants, au moins pour des cibles spécifiques du gouvernement fédéral américain. L'une des techniques découvertes consistait à modifier les informations d'identification et/ou les clés X509 pour les applications OAuth ayant un accès en lecture/écriture au courrier électronique (par exemple, les applications d'archivage du courrier électronique). Ces modifications permettaient d'accéder facilement et en permanence à toutes les communications par courrier électronique par le biais d'appels API, avec un risque de détection très faible.

La création d'accès redondant Azure AD de Vectra se déclenchera sur ces types de modifications des autorisations de l'application OAuth.

Avec l'accès à Office 365 au niveau administrateur, une variété d'autres techniques pourrait également être utilisée pour maintenir l'accès à la fois au courrier électronique et aux autres données d'Office 365. Il s'agit notamment de :

• Configurer des recherches eDiscovery et Compliance pour rechercher des informations spécifiques sur tous les canaux d'Office 365 - Email, Teams, OneDrive, SharePoint. Ces applications sont couvertes par les modèles de détection de Vectra " Suspicious eDiscovery Search " et " Suspicious Compliance Search " .
• Créer des flux Power Automate pour exfiltrer automatiquement les données, soit via HTTP, soit vers des destinations externes telles que des comptes Google Drive ou Box contrôlés par l'attaquant. La détection Suspicious Power Automate de Vectra s'attaque à ce vecteur.
• D'autres techniques moins furtives, telles que le transfert de courrier électronique ou les règles de transport, sont également possibles. Elles sont également couvertes par les modèles de détection de Vectra - Suspicious Email Forwarding et Suspicious Transport Rule.

La valeur des NDR

Le piratage de SolarWinds démontre l'utilité - et la nécessité - des solutions NDR pour détecter les brèches qui ont contourné la sécurité préventive et pour protéger les données. Les technologies basées sur les réseaux sont essentielles pour contrer la sophistication croissante des menaces.

Vectra protège de manière unique l'ensemble du réseau de connectivité hybride, sur site et cloud grâce à des modèles comportementaux d'apprentissage qui comprennent à la fois les hôtes et les identités, ce qui permet de suivre et d'arrêter les attaquants plus tôt dans la chaîne d'exécution.

Si vous êtes prêt à changer votre approche de la détection et de la réponse aux cyberattaques de ce type, et à voir de plus près comment la plateforme Cognito de Vectra peut trouver les outils et les exploits des attaquants, planifiez une démonstration avec Vectra dès aujourd'hui.