SolarWinds Orion Hack: Qué saber y cómo proteger su red

15 de diciembre de 2020
Luke Richards
Threat Intelligence Lead
SolarWinds Orion Hack: Qué saber y cómo proteger su red

¿Qué ocurrió y quién lo hizo?

El 13 de diciembre, el Washington Post informó de que el grupo ruso APT29 o Cozy Bear había vulnerado los Departamentos del Tesoro y de Comercio de Estados Unidos, y que el FBI especula con que el ataque comenzó ya en marzo de 2020.

FireEye informó de que la brecha se originó en un ataque bien ejecutado en la cadena de suministro a través del software SolarWinds Orion para distribuir un malware denominado SUNBURST. SolarWinds Orion es una popular herramienta de administración de TI utilizada por más de 300.000 organizaciones de todo el mundo, incluidas 425 de las 500 empresas de la lista Fortune, las 10 mayores empresas de telecomunicaciones, todas las ramas del ejército estadounidense y agencias gubernamentales estadounidenses como la NSA, el Departamento de Estado, el Pentágono, el Departamento de Justicia y la Casa Blanca. Por ello, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Gobierno de EE.UU. ha emitido una Directiva de Emergencia en la que pide a "todas las agencias civiles federales de EE.UU. que revisen sus redes en busca de indicadores de compromiso y desconecten o apaguen los productos SolarWinds Orion inmediatamente".

El actor nacional comprometió la solución SolarWinds Orion y creó una puerta trasera en Orion en marzo de 2020. Esta puerta se utilizó después para infectar más objetivos al instalar la actualización infectada. Como este software fue comprometido a nivel de proveedor, estaba firmado digitalmente con firmas válidas y no fue detectado por las protecciones antivirus o del sistema operativo.

SolarWinds ha emitido un aviso en el que revela que el software SolarWinds Orion Platform publicado entre marzo de 2020 y junio de 2020 se ha visto afectado.

Cómo se desarrolló y por qué es imprescindible supervisar a los usuarios en cloud nube

Una vez que la víctima instaló el software comprometido, el grupo APT continuó comprometiendo aún más la red, utilizando cuentas privilegiadas para moverse lateralmente y finalmente obtener las credenciales de una cuenta de administrador de dominio o el certificado de firma SAML. Esto permitió a los atacantes moverse lateralmente a cualquier dispositivo local o cualquier infraestructura cloud . Este nivel de acceso podría ser aprovechado para crear nuevas cuentas privilegiadas y desarrollar un punto de apoyo más sólido dentro de una organización. El atacante ha sido observado por Microsoft realizando actividades de confianza de Federación de Dominio, con el fin de ganar un punto de apoyo, así como las técnicas mencionadas anteriormente para ganar punto de apoyo y compromiso.

Vectra Cognito tiene varias capacidades disponibles para los clientes que quieran investigar o detectar si se han visto comprometidos por este ataque.

Resumen de las detecciones de Vectra

Las herramientas y técnicas de APT 29 son muy sofisticadas y han pasado desapercibidas durante mucho tiempo. Las tácticas del grupo siguen siendo similares a las de anteriores APT:

  1. Anfitrión de compromiso
  2. Usar Host para robar credenciales / elevar privilegios
  3. Utilizar nuevas credenciales para afianzarse en diversas partes de la red.
  4. Moverse por el entorno de cloud
  5. Robar datos

Vectra están protegidos de los ataques que aprovechan las tácticas y técnicas notificadas. A continuación se ofrece un resumen de las detecciones basadas en IA de Vectraa partir de las TTP.

Detecciones basadas en la actividad de la red

Acceso remoto externo / Túnel HTTP oculto/ Túnel HTTP oculto

  • Se espera comunicación C2 e interacción con el host infectado. Lo más probable es que esta detección esté vinculada al dominio avsvmcloud[.]com.

Vectra Información sobre amenazas Match

  • Los destinos maliciosos relevantes implicados en esta campaña se supervisan en Vectra Threat Intelligence Feed

RPC Recon / Targeted RPC Recon

  • Los atacantes utilizarán las herramientas integradas de Microsoft para llevar a cabo el reconocimiento e intentar explotar un objetivo.

Ejecución remota sospechosa

  • Los atacantes crearán nuevos puntos de apoyo mediante implantes y ejecución remota de código.

Anomalías de acceso privilegiado

  • Los atacantes aprovecharán las cuentas de servicio y específicamente las cuentas de SolarWinds para moverse lateralmente contra los servidores de infraestructura
  • Los atacantes utilizarán nuevas cuentas con privilegios elevados que se generarán y utilizarán contra los hosts y la infraestructura existentes para moverse por la red.

Detecciones basadas en la actividad de Office 365 y Azure AD

Actividad sospechosa de inicio de sesión

  • Se sabe que los atacantes utilizan cuentas cloud para realizar acciones administrativas contra las infraestructuras de las organizaciones. Por lo tanto, esta detección se activaría si el grupo utilizara la cuenta desde algún lugar fuera de la organización.

Creación de una cuenta de administrador

  • Se han visto atacantes creando cuentas administrativas.

Cuentas de administrador recién creadas

  • De forma similar a la detección anterior, esto indicaría el uso de una cuenta recién creada por el adversario
  • Operación sospechosa de Azure AD
  • Se ha observado que los atacantes crean nuevos fideicomisos de federación y realizan otros tipos de operaciones de alto nivel en Azure AD para mantener su posición.

Permisos de aplicación peligrosos

  • Los atacantes han aprovechado aplicaciones maliciosas con permisos expansivos para mantener la persistencia en un entorno

Qué buscar en su entorno:

Stream o Recall , y aquellos que utilicen herramientas que recopilen metadatos de red deberían buscar inmediatamente en su entorno lo siguiente;

Revisar la actividad relacionada con el dominio vinculado APT29 en los flujos de metadatos de iSession

  • resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (Sin los corchetes)
  • resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (Sin los corchetes)

Revisar la actividad inesperada de los sistemas SolarWinds en todos los metadatos

  • orig_hostname:(solarwinds_01* OR SolarWinds_01*)

Revisar la actividad relacionada con las cuentas AD de administrador en los metadatos Kerberos_txn

  • cliente:(*cuenta_admin* OR *cuenta_admin*)

Revisar la actividad relacionada con las cuentas de administrador en los metadatos NTLM

  • nombre_usuario:(*cuenta_admin* OR *cuenta_admin*)

Revise la actividad relacionada con las cuentas de administrador en los metadatos RDP (tenga en cuenta que las cookies RDP se truncan en 9 caracteres)

  • cookie:(admin_acc OR Admin_Acc)
  • El campo cookie también puede incluir el nombre de dominio antes del nombre de usuario, si este parece ser el caso, realice búsquedas donde un servidor SolarWinds sea la fuente

Conclusión

SolarWinds insta a todos los clientes a que actualicen a la versión 2020.2.1 HF 1 de Orion Platform lo antes posible para garantizar la seguridad de su entorno, o a que deshabiliten el acceso a Internet de Orion Platform y limiten los puertos y conexiones únicamente a lo necesario.

Si está listo para cambiar su enfoque de la detección y respuesta a ciberataques como estos, y para conocer más de cerca cómo Cognito puede encontrar herramientas y exploits de atacantes, programe una demostracióncon Vectra hoy mismo.

Preguntas frecuentes