Analisi della violazione di SolarWinds senza l’uso di firme

Max Heinemeyer, Director of Threat Hunting | giovedì 7 gennaio 2021

Gli attacchi con malware SUNBURST che hanno colpito SolarWinds hanno aumentato le preoccupazioni delle aziende in merito ai rischi legati ai loro ambienti digitali. Il malware installato durante gli aggiornamenti software a marzo 2020 ha consentito a pirati informatici evoluti di ottenere un accesso non autorizzato a file che potrebbero includere dati dei clienti e proprietà intellettuali.

Darktrace non usa SolarWinds e la sua operatività non è stata colpita da questa violazione. Tuttavia, SolarWinds e il suo reparto IT hanno scoperto uno strumento usato da un numero significativo di utenti Darktrace. Di seguito è riportata un’analisi di una serie di rilevamenti effettuati da Darktrace che hanno evidenziato ed allertato i team della sicurezza in merito ai tipi di comportamento correlati a questa violazione.

Non è un esempio di compromissione ai danni di SolarWinds, ma esempi di comportamenti anomali che è prevedibile rilevare da questo tipo di violazione. Questi esempi enfatizzano il valore dell’approccio self-learning della Cyber AI, che è in grado di comprendere l’evoluzione del normale “pattern of life” all’interno di un’azienda, a differenza di un approccio basato su firma che analizza i dati storici per predire le minacce future.

Poiché Darktrace rileva i pattern dell’attività dei dispositivi anziché i segnali delle minacce note, il rilevamento dell’uso di queste tecniche rientra nell’ambito delle capacità di Darktrace senza che sia necessaria un’ulteriore configurazione. La tecnologia raggruppa automaticamente i dispositivi in “peer group”, consentendo così di rilevare i casi in cui un singolo dispositivo si comporta in modo insolito. L’uso di un approccio basato sul self-learning è il miglior meccanismo possibile per individuare un pirata informatico che ottiene un accesso ai sistemi di un’azienda usando un grado di mascheramento che non attiva il rilevamento basato su firme.

Parecchi di questi modelli possono agire in abbinamento ad altri modelli al fine di creare un efficace rilevamento su serie storiche, ed è esattamente dove Cyber AI Analyst, ovvero la capacità di Darktrace di indagare in modo autonomo gli incidenti, ha un ruolo fondamentale nell’analizzare gli allarmi al posto dei team della sicurezza. Cyber AI Analyst consente ai team di sicurezza di risparmiare tempo fondamentale e i suoi risultati possono essere elaborati con priorità elevata nel corso di questo periodo di vigilanza.

I rilevamenti di Darktrace

Desideriamo concentrarci sui dettagli più sofisticati dell’intrusione effettiva che in molti casi è avvenuta dopo l’iniziale attacco automatizzato. Questa parte post-sfruttamento dell’attacco è più diversificata e mascherata. Le fasi sono praticamente impossibili da prevedere, poiché sono guidate dalle intenzioni e dagli obiettivi del pirata informatico relativi ad ogni singola vittima, rendendo l’uso di firme, threat intelligence o casi d’uso statici virtualmente inutili.

Mentre l’esecuzione iniziale ed automatizzata del malware è una fase iniziale critica da comprendere, il comportamento è stato pre-configurato per il malware e include il download di ulteriori payload e il collegamento a sottodomini basati su algoritmi di generazione del dominio (DGA) di avsvmcloud[.]com. Queste prima fasi automatizzate dell’attacco sono state sufficientemente studiate in modo approfondito dalla comunità. Questo post non ha l’obiettivo di aggiungere altre informazioni a queste scoperte, ma di analizzare invece le potenziali attività post-infezione.

Malware/Domini C2

Il pirata informatico ha impostato i nomi host nell’infrastruttura di comando e controllo (C2) della fase successiva per abbinare un nome host legittimo trovato nell’ambiente della vittima. Ciò ha consentito all’antagonista di integrarsi nell’ambiente, evitare sospetti ed eludere il rilevamento. Il pirata informatico ha usato poi i server C2 in prossimità geopolitica alle sue vittime, eludendo ulteriormente gli elenchi di attendibilità statici basati sulla posizione geografica. Darktrace non è interessata da questo tipo di tradecraft e non si basa su attendibilità implicite e pre-definite di geo-localizzazioni.

Tutto ciò attiva con molta probabilità i seguenti modelli Cyber AI di Darktrace. I modelli non sono stati specificatamente progettati per rilevare le modifiche SolarWinds, ma sono disponibili da anni; sono stati progettati per rilevare le impercettibili ma significative attività dei pirati informatici che si verificano all’interno della rete di un’organizzazione.

  • Compromise / Agent Beacon to New Endpoint
  • Compromise / SSL Beaconing to New Endpoint
  • Compromise / HTTP Beaconing to New Endpoint*

*L’impianto usa SSL, ma può essere identificato come HTTP se utilizza un proxy.

Movimenti laterali utilizzando credenziali differenti

Quando il pirata informatico ha ottenuto l’accesso alla rete usando credenziali compromesse, si muove lateralmente usando numerose credenziali differenti. Le credenziali usate per i movimenti laterali sono sempre differenti da quelle usate per l’accesso remoto.

Ciò molto probabilmente attiverebbe i seguenti modelli Cyber AI:

  • User / Multiple Uncommon New Credentials on Device

Figura 1: Esempio di log evento di violazione che mostra accessi (nuovi) anomali da un singolo dispositivo, con credenziali utente multiple

  • User / New Admin Credentials on Client

Figura 2: Esempio di log evento di violazione che mostra un accesso amministratore anomalo

Sostituzione file temporaneo e modifica attività temporanea

Il pirata informatico ha usato una tecnica di sostituzione file temporaneo per eseguire utilità da remoto: ha sostituito un’utilità legittima con la propria, eseguito il payload e poi ripristinato il file originale legittimo. Allo stesso modo ha manipolato attività programmate aggiornando un’attività legittima esistente per eseguire i propri strumenti, quindi ha ripristinato l’attività programmata alla sua configurazione originale. Il pirata informatico ha rimosso regolarmente i propri strumenti, includendo la rimozione di backdoor una volta ottenuto un accesso remoto legittimo.

Ciò avrebbe molto probabilmente attivato i seguenti modelli Cyber AI:

  • Anomalous Connection / New or Uncommon Service Control

Figura 3: Esempio di violazione che mostra un controllo servizi insolito

  • Anomalous Connection / High Volume of New or Uncommon Service Control

Figura 4: Esempio di violazione che mostra 10 controlli servizi insoliti

  • Device / AT Service Scheduled Task

Figura 5: Log eventi violazione che mostra una nuova attività programmata del servizio AT

  • Device / Multiple RPC Requests for Unknown Services

Figura 6: La violazione mostra numerose associazioni a servizi RPC sconosciuti

  • Device / Anomalous SMB Followed By Multiple Model Breaches

Figura 7: Violazione che mostra attività SMB insolita, abbinata ad un beaconing lento

  • Device / Suspicious File Writes to Multiple Hidden SMB Shares

Figura 8: Violazione che mostra un dispositivo che scrive un file .bat in una cartella temporanea su un altro dispositivo

  • Unusual Activity / Anomalous SMB to New or Unusual Locations

Figura 9: Violazione che mostra un nuovo accesso a SAMR, abbinato a letture SMB e accessi Kerberos non riusciti

  • Unusual Activity / Sustained Anomalous SMB Activity

Figura 10: Violazione che mostra una deviazione significativa in attività SMB dal dispositivo

Il vantaggio dell’AI

Comprendendo dove le credenziali sono usate e quali dispositivi parlano tra di loro, la Cyber AI garantisce una comprensione dinamica e senza precedenti dei sistemi aziendali. Ciò consente di allertare i team della sicurezza in merito a modifiche aziendali che possono indicare un rischio informatico in tempo reale.

Questi allarmi dimostrano come l’AI impara il “normale” per ogni esclusivo ambiente digitale che la circonda e avvisa quindi gli operatori in merito a deviazioni, incluse quelle direttamente rilevanti per la compromissione SUNBURST. Fornisce inoltre informazioni su come il pirata informatico ha utilizzato quelle reti che non hanno visibilità e capacità di rilevamento appropriate.

Oltre a questi allarmi, Cyber AI Analyst correlerà automaticamente questi rilevamenti nel corso del tempo al fine di identificare pattern, generare riepiloghi sull’incidente completi e intuitivi e ridurre in modo significativo il tempo di analisi. Il riesame degli allarmi di Cyber AI Analyst deve ricevere una priorità elevata nel corso delle prossime settimane.

Maggiori informazioni sulla Cyber AI

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.