Abwehr des SolarWinds-Hacks ohne Nutzung von Signaturen

Max Heinemeyer, Director of Threat Hunting | Donnerstag, 07. Januar 2021

Aufgrund der SUNBURST-Malware-Angriffe auf SolarWinds ist die Sorge der Unternehmen um die Sicherheit ihrer digitalen Umgebungen weiter gewachsen. Die im März 2020 bei Software-Updates installierte Malware verschaffte gewieften Angreifern unbefugten Zugriff auf Dateien, darunter auch Kundendaten und geistiges Eigentum.

Darktrace nutzt SolarWinds nicht, sodass wir von diesem Angriff nicht betroffen waren. Allerdings verwenden viele Darktrace Kunden die SolarWinds-Software für das Management von IT-Infrastrukturen. Im Folgenden zeigen wir Verhaltensmuster, die Darktrace im Zusammenhang mit ähnlichen Angriffen beobachtet hat. Anhand dieser Informationen können Sicherheitsteams gezielt gewarnt werden und entsprechend agieren.

Es handelt sich dabei nicht um ein Beispiel einer SolarWinds-Kompromittierung, sondern um Beispiele für anormales Verhalten, das wir üblicherweise bei derartigen Angriffen beobachten. Diese Beispiele machen deutlich, wie vorteilhaft es ist, auf eine selbstlernende Cyber-KI zu setzen, die die normalen Verhaltensmuster – die sogenannten „Patterns of Life“ – in einem Unternehmen kennt, statt auf die Signaturmethode zu setzen, bei der künftige Bedrohungen anhand von Daten aus der Vergangenheit erkannt werden sollen.

Darktrace untersucht die Aktivitätsmuster von Geräten, statt auf bekannte schädliche Signaturen zurückzugreifen, und kann so ohne weitere Konfiguration die Angriffsmethoden erkennen. Die Technologie gruppiert Geräte automatisch in „Vergleichsgruppen“, damit sofort erkannt wird, wenn sich ein Gerät ungewöhnlich verhält. Ein selbstlernender Ansatz ist der zuverlässigste Mechanismus, um Angreifer abzuwehren, die sich Zugang zu Ihren Systemen verschaffen und sich dabei so tarnen, dass keine signaturbasierte Erkennung ausgelöst wird.

Einige dieser Modelle werden in Kombination mit anderen Modellen aktiviert, um eine starke Erkennung über eine bestimmte Zeitspanne zu ermöglichen. An dieser Stelle spielt die eigenständige Auswertung von Vorfällen durch den Cyber AI Analyst eine entscheidende Rolle, weil diese Funktion die Warnmeldung für die Sicherheitsteams untersucht. Der Cyber AI Analyst verschafft den Sicherheitsteams wertvolle Zeit und seine Erkenntnisse sollten während der Analysephase vorrangig behandelt werden.

Beobachtungen von Darktrace

Wir möchten uns auf die besonders raffinierten Details dieses praxisnahen Beispiels für einen unbefugten Zugriff konzentrieren, der in vielen Fällen mit einem automatisierten Angriff beginnt. Das Vorgehen nach dem Exploit ist sehr viel komplexer und schwerer zu durchschauen. Diese Phasen sind kaum vorherzusagen, da sie durch die Absichten und Ziele des Angreifers für das jeweilige Angriffsopfer bestimmt werden – Signaturen, Bedrohungsdaten oder statische Anwendungsfälle sind somit nutzlos.

Obwohl die automatisierte Malware-Ausführung zu Beginn ein kritischer Schritt ist, den es zu verstehen gilt, wurde das Verhalten der Malware von den Angreifern bereits im Vorfeld konfiguriert. Es beinhaltete den Download weiterer Payloads sowie den Aufbau einer Verbindung zu auf DGAs (Domain Generation Algorithms) basierenden Subdomains von avsvmcloud[.]com. Diese automatisierten ersten Angriffsphasen wurden von der Community hinreichend untersucht. Den Erkenntnissen ist nichts hinzuzufügen, vielmehr befassen wir uns in diesem Beitrag mit den potenziellen Aktivitäten nach der Infektion.

Malware/C2-Domains

Der Bedrohungsakteur legte die Hostnamen in der späteren Command & Control (C2)-Infrastruktur so fest, dass sie einem legitimen Hostnamen entsprachen, den der Angreifer in der Umgebung des Angriffsopfers gefunden hatte. Somit konnte sich der Angreifer unauffällig und unerkannt in der Umgebung einnisten, ohne Verdacht zu erregen. Er nutzte dann C2-Server in geopolitischer Nähe zu seinen Opfern und umging damit statische geobasierte Trust-Listen. Darktrace ist von dieser Vorgehensweise nicht betroffen, da wir keine impliziten, vordefinierten Trust-Listen von geografischen Standorten haben.

Dadurch würden sehr wahrscheinlich die nachfolgenden Darktrace Cyber-KI-Modelle Abweichungen melden. Die Modelle wurden nicht speziell entwickelt, um SolarWinds-Modifizierungen zu erkennen, sondern sind schon viele Jahre in Verwendung. Sie dienen dazu, subtile, aber weitreichende Aktivitäten von Angreifern im Netzwerk eines Unternehmens zu erkennen.

  • Kompromittierung/Agent Beacon zu neuem Endgerät
  • Kompromittierung/SSL-Beaconing zu neuem Endgerät
  • Kompromittierung/HTTP-Beaconing zu neuem Endgerät*

* Das Implant nutzt SSL, kann aber als HTTP identifiziert werden, wenn ein Proxy verwendet wird.

Laterale Bewegung mit verschiedenen Zugangsdaten

Nachdem sich der Angreifer mithilfe kompromittierter Zugangsdaten Zugang zum Netzwerk verschafft hatte, konnte er sich mit verschiedenen Zugangsdaten lateral bewegen. Die für die laterale Bewegung verwendeten Zugangsdaten unterschieden sich immer von denen, die für den Remote-Zugriff genutzt wurden.

Dadurch würden sehr wahrscheinlich die folgenden Darktrace Cyber-KI-Modelle Abweichungen melden:

  • User / Multiple Uncommon New Credentials on Device

Abbildung 1: Beispielhaftes Ereignisprotokoll eines Angriffs, aus dem anormale (neue) Anmeldevorgänge von einem einzelnen Gerät mithilfe verschiedener Benutzer-Zugangsdaten hervorgehen

  • User / New Admin Credentials on Client

Abbildung 2: Beispielhaftes Ereignisprotokoll, aus dem anormale Administrator-Anmeldevorgänge hervorgehen

Temporärer Austausch einer Datei und temporäre Modifizierung einer Aufgabe

Der Angreifer nutzte eine Methode, bei der eine Datei temporär ausgetauscht wurde, um Dienstprogramme remote auszuführen: Er ersetzte ein legitimes Dateiprogramm durch sein eigenes, führte seine Payload aus und stellte dann die legitime ursprüngliche Datei wieder her. In ähnlicher Weise wurden geplante Aufgaben manipuliert, indem eine vorhandene legitime Aufgabe so geändert wurde, dass sie die Tools des Angreifers ausführte. Anschließend wurde die ursprüngliche Konfiguration der geplanten Aufgabe wiederhergestellt. Der Angreifer entfernte konsequent seine Tools und entfernte auch Backdoors, nachdem er sich legitimen Remote-Zugang verschafft hatte.

Dadurch würden sehr wahrscheinlich die folgenden Darktrace Cyber-KI-Modelle Abweichungen melden:

  • Anomalous Connection / New or Uncommon Service Control

Abbildung 3: Beispielhafter Angriff mit ungewöhnlicher Dienstesteuerung

  • Anomalous Connection / High Volume of New or Uncommon Service Control

Abbildung 4: Beispielhafter Angriff mit 10 ungewöhnlichen Dienstesteuerungen

  • Device / AT Service Scheduled Task

Abbildung 5: Beispielhaftes Ereignisprotokoll, aus dem neue Aktivität in Verbindung mit einer geplanten Aufgabe (AT-Dienst) hervorgeht

  • Device / Multiple RPC Requests for Unknown Services

Abbildung 6: Aufbau mehrerer Verbindungen zu unbekannten RPC-Diensten.

  • Device / Anomalous SMB Followed By Multiple Model Breaches

Abbildung 7: Ungewöhnliche SMB-Aktivität in Verbindung mit langsamem Beaconing

  • Device / Suspicious File Writes to Multiple Hidden SMB Shares

Abbildung 8: Gerät schreibt eine .bat-Datei in einen temporären Ordner auf einem anderen Gerät

  • Unusual Activity / Anomalous SMB to New or Unusual Locations

Abbildung 9: Neuer Zugang zu SAMR in Kombination mit SMB-Reads und fehlgeschlagenen Kerberos-Anmeldeversuchen

  • Unusual Activity / Sustained Anomalous SMB Activity

Abbildung 10: Angriff zeigt starke Abweichung bei der SMB-Aktivität des Geräts

Der Vorteil von KI

Die Cyber-KI weiß, welche Zugangsdaten wo verwendet werden und welche Geräte miteinander kommunizieren. Dieses dynamische Verständnis der Systeme in Unternehmen ist einzigartig. Sicherheitsteams können sofort gewarnt werden, wenn in Echtzeit Veränderungen erkannt werden, die auf ein Cyberrisiko hindeuten.

Diese Warnmeldungen zeigen, wie sich die KI ein Bild von den „normalen Verhaltensmustern“ in der jeweiligen digitalen Umgebung macht und die Sicherheitsteams bei Abweichungen warnt, auch bei solchen, die direkt mit der SUNBURST-Kompromittierung zusammenhängen. Es wird zudem deutlich, wie der Angreifer diese nicht beobachteten Netzwerke, für die keine Erkennung eingerichtet war, ausnutzte.

Neben den Warnmeldungen setzt der Cyber AI Analyst die im Zeitverlauf erkannten Abweichungen automatisch in Beziehung, um Muster zu erkennen. Es werden ausführliche und intuitive Zusammenfassungen erstellt und die Auswertungszeit wird deutlich verkürzt. Die Analyse der Warnmeldungen des Cyber AI Analyst sollte in den darauffolgenden Wochen hohe Priorität haben.

Erfahren Sie mehr über Cyber-KI

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.