Et kig ind i SolarWinds-sårbarheden

Sofistikeret brug af en falsk opdatering har muliggjort hacket.

FireEye har udgivet en Threat Research om den aktuelle sårbarhed i SolarWinds Orion-platform. I denne beskrives det, der må anses for at være en softwareleverandøres værste mareridt. At ondsindede aktører får adgang til at udsende trojaniserede opdateringer til leverandørens kunder. I dette tilfælde er det så endnu værre, idet der er tale om opdateringer til overvågnings- og styringssoftware, der bl.a. har til formål at beskytte mod ondsindet trafik.

Hvordan fungerer SUNBURST bagdør?

SolarWinds.Orion.Core.BusinessLayer.dll er en digitalt signeret SolarWinds komponent i Orion-strukturen. Den indeholder en bagdør, der kommunikerer via HTTP til tredjepartsservere. Der er øjensynligt blevet udviklet en trojaniseret version af dette SolarWinds Orion plugin, og som er blevet udsendt som en opdatering. Plugin’et bliver kaldt SUNBURST.

Ved hjælp af denne bagdør har der kunnet installeres malware, der i første omgang har ligget i dvale i op til to uger, hvorefter den har hentet og udført kommandoer. Disse kommandoer omfatter bl.a. overførsel af filer, afvikling af filer, profilering af systemet, genstart af maskine og deaktivering af systemtjenester.

Malwaren har maskeret sin netværkstrafik som OIP protokollen (Orion Improvement Program) og gemt resultaterne af sin rekognoscering inden for legitime plugin-konfigurationsfiler. Det har gjort det muligt for den at blande sig med legitim SolarWinds-aktivitet og undgå at blive opdaget af antivirusprodukter.

Standard Windows installer

Selve opdateringsfilen er en standard Windows Installer patchfil, der indeholder ressourcer, der er knyttet til opdateringen, inklusive den trojaniserede komponent. Når opdateringen er installeret, indlæses den ondsindede DLL af den legitime SolarWinds.BusinessLayerHost.exe eller SolarWinds.BusinessLayerHostx64.exe (afhængigt af systemkonfiguration).

Efter perioden i dvale vil malwaren forsøge at resolve et underdomæne af avsvmcloud [.] Com. DNS-svaret returnerer en CNAME post, der peger på et C2-domæne (Command and Control). C2-trafikken til de ondsindede domæner er designet til at efterligne normale SolarWinds API kommunikation.

Indicators of compromise (IoC'er) og andre relevante angrebssignaturer designet til at imødegå SUNBURST er tilgængelige på Fireyes Github.

Center for cybersikkerhed har udgivet en teknisk gennemgang på sin hjemmeside baseret på FireEyes Threat Research.

Links:

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://cfcs.dk/da/handelser/varsler/solarwinds-teknisk-reference/  

https://github.com/fireeye/sunburst_countermeasures

https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html