APT41-Angriff erkannt, der eine Zero-Day-Sicherheitslücke ausnutzte

Max Heinemeyer, Director of Threat Hunting | Donnerstag, 02. April 2020

Zusammenfassung

  • Darktrace beobachtete Anfang März mehrere sehr gezielte Angriffe – lange bevor entsprechende Signaturen bereitstanden. Zwei Wochen später wurden die Angriffe dem chinesischen Bedrohungsakteur APT41 zugeordnet.

  • APT41 nutzte die Zero-Day-Sicherheitslücke CVE-2020-10189 von Zoho ManageEngine. Darktrace erkannte und meldete den Angriff automatisch in der Frühphase, sodass die Kunden die Bedrohung frühzeitig stoppen und Schaden verhindern konnten.

  • Die hier beschriebenen Angriffe waren Teil einer breiteren Kampagne von APT41, mit der sich der Bedrohungsakteur während des Risiko-Zeitfensters von CVE-2020-10189 zunächst Zugang zu möglichst vielen Unternehmen verschaffen wollte.

  • Die von Darktrace generierten Berichte beleuchteten jeden Aspekt des Vorfalls aussagekräftig, verständlich und handlungsorientiert. Selbst ein unerfahrener Sicherheitsmitarbeiter hätte anhand dieser Informationen binnen fünf Minuten auf den Zero-Day-APT-Angriff reagieren können.

Abwehr eines globalen APT41-Angriffs

Anfang März beobachtete Darktrace mehrere komplexe Angriffe auf Kunden in den USA und Europa. Die meisten dieser Kunden sind im juristischen Bereich tätig. Die Angriffe basierten alle auf denselben Methoden, Tools und Vorgehensweisen, sie nahmen von außen zugängliche Server ins Visier und nutzten aktuelle schwere Sicherheitslücken aus. FireEye schrieb diese verdächtige Aktivität letzte Woche der chinesischen Cyberspionage-Gruppe APT41 zu.

Diese Kampagne nutzte die Zero-Day-Sicherheitslücke CVE-2020-10189 von Zoho ManageEngine aus, um sich Zugang zu verschiedenen Unternehmen zu verschaffen. Nach dem ersten Angriff wurden jedoch kaum weitere Aktionen registriert. Diese Aktivität weist auf eine breit angelegte Kampagne hin, die dazu dient, sich während des Risiko-Zeitfensters Zugang zu möglichst vielen Unternehmen zu verschaffen.

Die von Darktrace beobachtete schädliche Aktivität fand am Sonntag, 8.März 2020, und am Morgen des 9.März 2020 (UTC) statt, weitgehend zu den Bürozeiten, die vorher schon mit der chinesischen Cyberspionage-Gruppe APT41 in Verbindung gebracht worden waren.

Die Grafik unten zeigt beispielhaft den zeitlichen Ablauf bei einem der Kunden, die von APT41 angegriffen wurden. Die in anderen Kundenumgebungen beobachteten Angriffe sind identisch.

Abbildung 1: Zeitlicher Ablauf des Angriffs

Technische Analyse

Der hier beschriebene Angriff konzentrierte sich auf die Zero-Day-Sicherheitslücke CVE-2020-10189 von Zoho ManageEngine. Der Angriff scheint überwiegend automatisiert ausgeführt worden zu sein.

Wir beobachteten den initialen Angriff, gefolgt von mehreren Payload-Downloads und Command & Control (C2)-Traffic. In allen Fällen wurde die Aktivität gestoppt, bevor der Angriff in die nächsten Phasen, wie eine laterale Bewegung oder eine Datenausschleusung, übergehen konnte.

Der Screenshot unten zeigt eine Übersicht der wichtigsten Erkenntnisse, die von AI Analyst gemeldet wurden. Dabei wurden nicht nur der SSL- und HTTP-C2-Traffic gemeldet, sondern auch die Payload-Downloads:

Abbildung 2: Cyber AI Analyst erkennt SSL-C2

Abbildung 3: Cyber AI Analyst erkennt Payload

Anfängliche Kompromittierung

Die anfängliche Kompromittierung begann mit der erfolgreichen Ausnutzung der Zero-Day-Sicherheitslücke CVE-2020-10189 von Zoho ManageEngine. Nach dem ersten Angriff wurde das Befehlszeilentool Microsoft BITSAdmin verwendet, um eine schädliche Batchdatei herunterzuladen und zu installieren:

install.bat (MD5: 7966c2c546b71e800397a67f942858d0) von Infrastruktur 66.42.98[.]220 auf port 12345.

Source: 10.60.50.XX
Destination: 66.42.98[.]220
Destination Port: 12345
Content Type: application/x-msdownload
Protocol: HTTP
Host: 66.42.98[.]220
URI: /test/install.bat
Method: GET
Status Code: 200

Abbildung 4: Ausgehende Verbindung ruft Batchdatei ab

Kurz nach der anfänglichen Kompromittierung wurde der Cobalt Strike Beacon LOADER für Phase eins heruntergeladen.

Abbildung 5: Cobalt Strike Beacon LOADER erkannt

Command & Control-Traffic

Interessanterweise fand zeitgleich mit dem Beginn des C2-Traffics bei einigen Kundenangriffen Teamviewer-Aktivität statt und Notepad++ wurde heruntergeladen. Dies deutet darauf hin, dass APT41 versucht, gewohnte Tools zu nutzen, statt komplett auf Living off the Land zu setzen.

Storesyncsvc.dll war ein Cobalt Strike Beacon Implant (Testversion), das sich mit exchange.dumb1[.]com verband. Es wurde eine erfolgreiche DNS-Auflösung nach 74.82.201[.]8 identifiziert, die von Darktrace als erfolgreiche SSL-Verbindung zu einem Hostnamen mit Dynamic-DNS-Eigenschaften erkannt wurde.

Mehrere Verbindungen zu exchange.dumb1[.]com wurden als Beaconing zu einem C2-Center erkannt. Dieser C2-Traffic zu dem initialen Cobalt Strike Beacon wurde für den Download einer Phase-zwei-Payload genutzt.

Interessanterweise fand zeitgleich mit dem Beginn des C2-Traffics bei einigen Kundenangriffen Teamviewer-Aktivität statt und Notepad++ wurde heruntergeladen. Dies deutet darauf hin, dass APT41 versucht, gewohnte Tools zu nutzen, statt komplett auf Living off the Land zu setzen. Es lässt sich mit hoher Sicherheit sagen, dass die Verwendung dieser beiden Tools mit diesem Angriff in Verbindung steht und nicht mit der regulären Geschäftstätigkeit. In den Umgebungen der angegriffenen Kunden wurde normalerweise weder Notepad++ noch Teamviewer genutzt – die Nutzung beider Anwendungen war somit zu 100% ungewöhnlich für die betreffenden Unternehmen.

Download der Angriffstools

Dann wurde CertUtil.exe, ein Befehlszeilenprogramm, das als Teil von Certificate Services installiert wird, dafür genutzt, eine externe Verbindung herzustellen und die Phase-zwei-Payload herunterzuladen.

Abbildung 6: Darktrace erkennt Verwendung von CertUtil

Einige Stunden nach dem Download dieser ausführbaren Datei baute das infizierte Gerät eine ausgehende HTTP-Verbindung auf und rief dabei den URI/TzGG auf, der als Meterpreter identifiziert wurde. Dieser lud weiteren Shellcode für den Cobalt Strike Beacon herunter.

Abbildung 7: Meterpreter-Aktivität im Zusammenhang mit dem Angriff

Es wurde keine laterale Bewegung oder wesentliche Datenausschleusung beobachtet.

Wie der Cyber AI Analyst den Zero-Day-Exploit meldete

Darktrace erkannte nicht nur diese Zero-Day-Angriffskampagne. Vielmehr ersparte der Cyber AI Analyst den Sicherheitsteams viel Zeit, weil er die isolierten Sicherheitsereignisse untersuchte und einen Bericht generierte, auf dessen Grundlage sie sofort handeln konnten.

Der Screenshot unten zeigt, welche Vorfälle der AI Analyst in einer der infizierten Umgebungen über den Angriffszeitraum von acht Tagen meldete. Der erste Vorfall links bezieht sich auf die hier beschriebene APT-Aktivität. Die anderen fünf Vorfälle hängen nicht mit der APT-Aktivität zusammen und sind nicht so schwerwiegend.

Abbildung 8: Die vom AI Analyst aufgespürten Sicherheitsvorfälle

Der AI Analyst meldete über den Zeitraum von acht Tagen sechs Vorfälle. Für jeden dieser Vorfälle stellte der AI Analyst in einem übersichtlichen Format einen detaillierten Zeitstrahl und eine Zusammenfassung des Vorfalls bereit. Die Durchsicht dauert im Durchschnitt zwei Minuten. So hätte auch jemand ohne umfassende technische Kenntnisse mithilfe des Cyber AI Analyst in weniger als fünf Minuten auf diesen komplexen Zero-Day-Vorfall reagieren können.

Fazit

APT41 geht generell sehr raffiniert vor. Im beschriebenen Fall opferte die Hackergruppe Unauffälligkeit zugunsten von Schnelligkeit und griff viele Unternehmen gleichzeitig an. APT41 wollte das begrenzte Risiko-Zeitfenster der Zero-Day-Sicherheitslücke von Zoho nutzen, bevor die IT entsprechende Patches installierte.

Wenn keine öffentlichen Kompromittierungsindikatoren (IoC) oder Open Source Intelligence verfügbar sind, sind gezielte Angriffe extrem schwer zu erkennen. Darüber hinaus nützt es nichts, wenn der Angriff zwar erkannt wird, aber nicht frühzeitig von einem Sicherheitsanalysten abgewehrt werden kann. Das liegt häufig an der schier unüberschaubaren Menge von Warnmeldungen oder einfach daran, dass das nötige Wissen für eine Auswertung und Untersuchung fehlt.

Es scheint sich um eine breite Kampagne der Hackergruppe APT41 zu handeln, die sich Zugang zu vielen verschiedenen Unternehmen und Branchen verschaffen wollte. APT41 geht generell sehr raffiniert vor. Im beschriebenen Fall opferte die Hackergruppe Unauffälligkeit zugunsten von Schnelligkeit und griff viele Unternehmen gleichzeitig an. APT41 wollte das begrenzte Risiko-Zeitfenster der Zero-Day-Sicherheitslücke von Zoho nutzen, bevor die IT entsprechende Patches installierte.

Die Cyber-KI von Darktrace ist darauf ausgelegt, frühzeitig subtile Hinweise auf gezielte, unbekannte Angriffe zu erkennen, und ist nicht auf bereits vorliegende Erkenntnisse oder IoCs angewiesen. Dazu macht sie sich fortlaufend ein Bild von den normalen Verhaltensmustern jedes Benutzers, jedes Geräts und jeder zugehörigen Vergleichsgruppe und lernt dadurch „im Einsatz“.

Angesichts der jüngsten Zero-Day-Angriffskampagne von APT41 erwies sich die Fähigkeit der KI, (a) unbekannte Bedrohungen mit selbstlernender KI zu erkennen und (b) die Sicherheitsteams mit KI-gestützten Untersuchungen und Berichten zu unterstützen, als extrem wertvoll. Die KI stellte sicher, dass die Angriffe schnell unter Kontrolle gebracht wurden, bevor die nächsten Phasen des Angriffslebenszyklus eingeleitet wurden.

Kompromittierungsindikatoren

Ausgewählte Abweichungen von den Darktrace Modellen:

  • Anomalous File / Script from Rare External
  • Anomalous File / EXE from Rare External Location
  • Compromise / SSL to DynDNS
  • Compliance / CertUtil External Connection
  • Anomalous Connection / CertUtil Requesting Non Certificate
  • Anomalous Connection / CertUtil to Rare Destination
  • Anomalous Connection / New User-Agent to IP Without Hostname
  • Device / Initial Breach Chain Compromise
  • Compromise / Slow Beaconing Activity To External Rare
  • Compromise / Beaconing Activity To External Rare
  • Anomalous File / Numeric Exe Download
  • Device / Large Number of Model Breaches
  • Anomalous Server Activity / Rare External from Server
  • Compromise / Sustained TCP Beaconing Activity To Rare Endpoint
  • Compliance / Remote Management Tool On Server

Der folgende Screenshot zeigt die Abweichungen von Darktrace Modellen während der Kompromittierung eines der betroffenen Kunden:

Abbildung 9: Zeitgleich auftretende Abweichungen von Darktrace Modellen

Netzwerk-IoCs:

IoCAnmerkung
66.42.98[.]220Initiale Kompromittierung und Payload-Downloads
74.82.201[.]8DNS-Auflösung für C2-Domain
exchange.dumb1[.]comC2-Hauptdomain
91.208.184[.]78Sekundärer Cobalt Strike C2

Host-IoCs:

IoCAnmerkung
DateinameMD5 Hash
install.bat7966c2c546b71e800397a67f942858d0
storesyncsvc.dll5909983db4d9023e4098e56361c96a6f
2.exe3e856162c36b532925c8226b4ed3481c
TzGG659bd19b562059f3f0cc978e15624fd9

Erkannte MITRE ATT&CK-Methoden

Initialer ZugangT1190 – Exploit einer von außen zugänglichen Anwendung
T1133 – Externe Remote-Services
AusführungT1064 – Scripting
PersistenzT1050 – Neuer Service
T1197 – BITS Jobs
PrivilegienausweitungT1068 – Ausnutzung der Privilegienausweitung
Umgehung der AbwehrT1055 – Process Injection
T1197 – BITS Jobs
Auskundschaftung
Ausschleusung
Command & ControlT1043 – Häufig genutzte Ports
T1071 – Standard Application Layer Protocol
T1132 – Datencodierung
T1008 – Fallback-Kanäle

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.