Desmenuzando la brecha de SolarWinds: una mirada al interior de los métodos utilizados

^Vectra® protege a las empresas detectando y deteniendo los ciberataques.

Como líder en detección y respuesta de redes (NDR), Vectra® AI protege sus datos, sistemas e infraestructuras. Vectra AI permite a su equipo SOC descubrir y responder rápidamente a los posibles atacantes, antes de que actúen.

Vectra AI identifica rápidamente comportamientos y actividades sospechosos en su red extendida, ya sea en las instalaciones o en cloud. Vectra lo encontrará, lo marcará y alertará al personal de seguridad para que pueda responder de inmediato.

Vectra AI es la seguridad que piensa®. Utiliza la inteligencia artificial para mejorar la detección y la respuesta a lo largo del tiempo, eliminando los falsos positivos para que puedas centrarte en las amenazas reales.

Los modelos de detección de Vectra AI proporcionan alertas tempranas en tiempo real y visibilidad continua a lo largo de la progresión del ataque, desde las instalaciones hasta cloud , sin dependencia de IoC, firmas u otras actualizaciones de modelos.

DESTACADOS

• Se utilizaron múltiples canales de comunicación, fases y herramientas para establecer un control interactivo y práctico. Cada fase se diseñó para minimizar las posibilidades de detección, con técnicas que derrotan las firmas de herramientas IDS, EDR, caza manual de amenazas e incluso enfoques comunes de detección basada en ML.
• La DGA utilizada en este ataque era diferente: se generaba un subdominio único para cada víctima, compuesto por un ID único global calculado a partir de atributos locales y una codificación del nombre de host de la víctima.
• La IA de Vectra verá a través de las tácticas de evasión aplicadas y detectará los túneles tan pronto como se activen.
• Vectra protege de forma única toda la red de conectividad híbrida, local y cloud con modelos de comportamiento de aprendizaje que comprenden tanto los hosts como las identidades, rastreando y deteniendo a los atacantes antes en la cadena de muerte.

Resumen

El pirateo de SolarWinds Orion, ahora conocido como Sunburst o Solorigate, ilustra claramente la necesidad de contar con un sistema de detección y respuesta de redes (NDR) basado en IA. La seguridad preventiva y los controles de endpoints, aunque han subido el listón, son insuficientes, y los sistemas de detección de intrusiones (IDS) basados en firmas han vuelto a demostrar su ineficacia a la hora de detectar nuevos ataques en los que aún no existen indicadores de compromiso (IoC).

Los atacantes de SolarWinds han puesto un gran esfuerzo y habilidad en evadir los controles preventivos que involucraban sandboxes de red, endpoint y autenticación multifactor (MFA), incluyendo:

• exhaustivas comprobaciones para garantizar que no se encontraba en un sandbox u otro entorno de análisis de malware
• uso de la firma de código y de procesos legítimos para eludir los controles habituales de los puntos finales
• novedoso dropper en memoria para eludir el análisis basado en ficheros en la distribución de la baliza de Command and Control (C2)
• Evasión de MFA utilizando claves de firma de sesión SAML (Security Assertion Markup Language) robadas.

El nivel de habilidad y concentración necesario para eludir limpiamente los controles de endpoints es un tributo a los recientes avances en la detección y respuesta de endpoints (EDR). Sin embargo, también es un recordatorio de que un adversario decidido y sofisticado siempre será capaz de eludir la prevención y los controles de endpoints.

Aprovechar la detección y respuesta de la red -en la que la red se define ampliamente como todo lo que está fuera del punto final- es un mejor enfoque para defenderse contra esta clase de ataques. Los modelos de detección Vectra AI proporcionan alerta temprana en tiempo real y visibilidad continua a lo largo de la progresión del ataque, desde las instalaciones hasta cloud , sin dependencia de IoC, firmas u otras actualizaciones de modelos. Todo ello sirve para identificar y detener ataques como Sunburst/Solorigate/SolarWinds antes de que se produzcan daños.

Trazado de la progresión de los ataques desde las instalaciones locales a cloud

El objetivo del compromiso del código Orion era establecer un canal C2 fiable y sigiloso desde los atacantes hasta un componente de infraestructura fiable y privilegiado dentro del centro de datos -SolarWinds- que proporcionaría a los atacantes tanto unas cuentas privilegiadas iniciales como un punto de pivote para llevar adelante el ataque.

Se utilizaron múltiples canales de comunicación, fases y herramientas para establecer un control interactivo y práctico. Cada fase se diseñó para minimizar las posibilidades de detección, con técnicas que derrotan las firmas de herramientas IDS, EDR, caza manual de amenazas e incluso enfoques comunes de detección basada en ML.

A continuación, describimos la progresión del ataque desde la puerta trasera inicial hasta el establecimiento de acceso persistente a entornos cloud , con un enfoque específico en Microsoft Office 365/correo electrónico, que parece haber sido un objetivo clave de los ataques.

La cobertura Vectra AI -sin depender de IoC ni de firmas- comienza en cuanto se establece el canal C2 inicial. La combinación de comportamientos observados directamente en el servidor SolarWinds hizo que se priorizara como "Crítico" incluso antes de que se produjera cualquier movimiento lateral, lo que permitió una contención temprana. Si el ataque avanzara, las detecciones adicionales proporcionarían una visibilidad completa de cada fase posterior incluso cuando el ataque pivotara hacia la cloud y Office 365.

Establecer un canal C2 sigiloso

El canal C2 no sólo está cuidadosamente diseñado para evadir las firmas, sino también los enfoques ML simples pero comunes. Los modelos C2 de Vectra utilizan un enfoque de IA más sofisticado, que ve a través de las tácticas de evasión para detectar el C2 subyacente.

El Algoritmo de Generación de Dominios que no se comporta como un AGD

En cuanto se activa el backdoor, se utiliza una DGA para redirigir la infraestructura C2 principal de los atacantes. Aunque el dominio contactado por el backdoor se genera dinámicamente, este DGA es diferente a la mayoría. Los DGA suelen ser utilizados por las redes de bots para adelantarse a la información sobre amenazas y a las listas de bloqueo. El sistema víctima pasa por muchos dominios de aspecto aleatorio generados algorítmicamente -la mayoría de los cuales devuelven respuestas NXDOMAIN- hasta que finalmente resuelve el dominio C2 activo en ese momento.

Sin embargo, la DGA utilizada en este ataque era diferente: se generaba un subdominio único para cada víctima, compuesto por un ID único global calculado a partir de atributos locales y una codificación del nombre de host de la víctima. El backdoor enviaba balizas a intervalos aleatorios a este único dominio. El dominio se resolvía con éxito cada vez. La víctima continuaba la baliza DNS hasta que recibía una respuesta CNAME, que era la señal para pasar a la siguiente fase del ataque y proporcionaba la conexión del dominio C2 primario.

La baliza DNS se diseñó de forma que fuera casi imposible de detectar por las soluciones de seguridad:

• El dominio en uso tenía años de antigüedad y se trasladó al espacio IP de Microsoft aproximadamente 2 meses antes de su uso inicial, lo que anuló los enfoques de reputación o envejecimiento de dominios.
• No se devolvieron NXDOMAINs, lo que elimina una señal primaria para la detección común de DGA.
• El dominio generado algorítmicamente era un subdominio profundo (por ejemplo, 3mu76044hgf7shjf.appsync-api.us-est-2.avsvmcloud.com). Muchos servicios legítimos utilizan la aleatorización a este nivel y, por tanto, la detección de la aleatorización sería extremadamente ruidosa y poco práctica.
• Balizas a un único subdominio con una sola pieza de información, lo que evade los detectores de túneles DNS que buscan subdominios variables que se utilizarían para codificar más información.

A pesar de los métodos utilizados por los atacantes, esta fase del ataque es detectada con precisión por Vectra Threat Intelligence y modelos personalizados basados en IoCs conocidos.

Cambiar a HTTPS

Una vez activado el canal C2, el binario establece un túnel HTTPS hacia el dominio indicado por la respuesta CNAME a la baliza DNS. Los túneles HTTPS proporcionan una mayor interactividad, una transferencia de datos más eficiente y son más difíciles de detectar que los túneles DNS.

Los modelos de detección de IA de Vectra se ponen en marcha en cuanto se establece el túnel HTTPS.

La fase inicial HTTPS utiliza un túnel totalmente personalizado con una tasa máxima de balizas lenta (1 minuto, lo que significa poca interactividad) y un conjunto de funciones limitado. Parece haber sido utilizado para dos propósitos principales:

(1) Recopilar detalles adicionales sobre el servidor SolarWinds comprometido, incluida una cuenta de administrador.

(2) Descargue el dropper TEARDROP e instale un túnel HTTPS Cobalt Strike personalizado para evadir las firmas de las herramientas.

Después de que se estableciera el túnel HTTPS Cobalt Strike , las fases activas y de mano en el teclado de la progresión del ataque lo aprovecharon en su lugar.

Ambos túneles HTTPS utilizan métodos relativamente estándar para comunicarse, transfiriendo comandos y resultados a través de una baliza periódica encriptada. La innovación en estas herramientas es escasa o nula.

Sin embargo, al igual que con la baliza DNS, los dominios se eligieron para minimizar la probabilidad de detección: todos los dominios estaban bien curtidos/envejecidos y alojados en espacios IP de Amazon AWS. Esta simple táctica, sorprendentemente, evadirá no sólo los sistemas pasivos de DNS y reputación, sino también la mayoría de los sistemas de detección basados en ML. ¿Por qué? La mayor parte de la detección ML comienza por encontrar balizas en un entorno, pero debido al enorme número de balizas legítimas en las redes, esos modelos necesitan una forma de elegir sobre qué balizas alertar y cuáles ignorar.

Una forma simplista de abordar este problema es alertar únicamente sobre balizas que utilicen dominios con menos de unas pocas semanas de antigüedad, dando efectivamente un pase a cualquier dominio con una antigüedad incluso modesta. También es habitual poner en la lista blanca algunos rangos de IP de CSP, especialmente desde dispositivos móviles. Este enfoque funciona bien para la mayoría de los equipos rojos pero, como muestra claramente este caso, no defiende contra un adversario sofisticado que ha planeado el ataque de antemano.

Vectra utiliza un detector de balizas como base para la detección de túneles. Sin embargo, en lugar de adoptar el enfoque descrito anteriormente, los modelos de túneles HTTP/S ocultos de Vectra utilizan una red neuronal recurrente LSTM avanzada aplicada a los metadatos de tráfico de series temporales para identificar la interacción C2 a través de la baliza, ignorando cosas como los teletipos de bolsa. Como resultado, la IA de Vectra verá a través de las tácticas de evasión aplicadas aquí y detectará los túneles tan pronto como se activen.

La IA de Vectra se dará cuenta de las tácticas de evasión aplicadas aquí y detectará los túneles en cuanto se activen.

Progresando en el ataque: La identidad y el pivote de cloud

Una vez que el canal C2 se ha establecido con éxito, se utiliza para proporcionar un control práctico para hacer avanzar el ataque. Dado el elemento humano, los detalles variarán de un entorno a otro. Sin embargo, hay una progresión común esbozada en la investigación sobre las TTP de Cozy Bear en general y el ataque de SolarWinds en particular.

Moverse lateralmente para llegar a Domain Admin

Un atacante en el control de la infraestructura de confianza (SolarWinds) con acceso a varias cuentas privilegiadas, incluyendo cuentas de servicio SolarWinds y en algunos casos incluso cuentas de administrador, proporciona un camino corto a los permisos de administrador de dominio completo.

Una versión ofuscada de ADfind ha sido comúnmente reportada como parte de las herramientas de ataque, utilizada para la enumeración de dominios incluyendo la identificación de cuentas de administración de dominios. Vectra cubre la enumeración de dominios con el modelo de detección de consultas LDAP sospechosas .

Una vez conocidas las relaciones de grupo y las cuentas de administrador de dominio, el siguiente paso lógico es utilizar RPC para asignar la ruta al administrador de dominio. Vectra detecta esto con un modelo RPC Recon .

Una vez trazada la ruta, comenzará el movimiento lateral. Las investigaciones sugieren que el programador de tareas invocado a través de Windows Management Instrumentation (WMI) con cuentas descubiertas en el servidor SolarWinds es la táctica más comúnmente utilizada. Vectra proporciona cobertura de detección para este movimiento lateral de dos maneras:

• Anomalías de acceso privilegiado: Vectra identifica y mapea las relaciones de todas las cuentas privilegiadas, servicios y hosts. Los intentos de utilizar cuentas y servicios con privilegios de forma inusual, incluida la ejecución de comandos, activarán la detección. Para obtener una descripción más detallada del análisis de acceso privilegiado de Vectra, consulte nuestro resumen de la solución sobre zero trust y acceso privilegiado.
• Ejecución remota sospechosa: Este modelo se centra específicamente en UUID de RPC asociados con la ejecución remota de código a través de DCE/RPC, WMI y DCOM, con aprendizajes sobre una tupla [src, dst, account, UUID]. La ejecución remota de código fuera de los aprendizajes del modelo activará la detección.

SAML Golden Ticket y modificación de fideicomisos de federación

Con una cuenta de administrador de dominio en la mano, los atacantes buscaron oportunidades para ampliar su presencia en entornos de cloud . Dada la prevalencia de MFA en Azure AD y otros proveedores de identidad federada, los atacantes se centraron en robar certificados de firma SAML para falsificar nuevos tokens SAML, utilizados para eludir MFA. El certificado de firma SAML está disponible en la memoria del servidor Active Directory Federation Services (ADFS) o similar. Las técnicas para moverse lateralmente al servidor ADFS serían las mismas que para llegar al administrador del dominio, pero ahora con una cuenta más poderosa.

La cobertura de Vectra para el paso al servidor ADFS/SAML es la misma que en fases anteriores, concretamente Anomalías de acceso con privilegios y Ejecución remota sospechosa.

A continuación, el certificado de firma SAML se utiliza para falsificar un token SAML, lo que permite el acceso de administrador global a Azure AD. Vectra's Azure AD Suspicious Sign-On detecta este acceso, analizando múltiples dimensiones del inicio de sesión -incluyendo IP, geolocalización, métodos de inicio de sesión y host- para identificar accesos inusuales.

Una vez conseguido el acceso de administrador global, el adversario obtiene acceso persistente modificando la configuración de confianza federada de los dominios. Esto se puede conseguir añadiendo nuevos dominios de confianza que el atacante controle, o nuevas Autoridades de Certificación (CAs) de confianza para crear y firmar nuevos certificados. Estos cambios permiten al atacante emitir nuevos tokens SAML de forma continua sin necesidad de acceder al ADFS anterior. Vectra detecta cambios inusuales en la configuración de Federated Trust, así como en otras configuraciones de Azure AD, con el modelo de detección Suspicious Azure AD Operation .

Persistencia del acceso al correo electrónico y los datos de Office 365

Office 365 alberga una gran cantidad de datos, impulsada aún más en 2020 por el aumento de la colaboración y el intercambio de documentos para apoyar el trabajo a distancia durante la pandemia de COVID-19. Obtener acceso continuo al correo electrónico parece haber sido un objetivo clave de los atacantes, al menos para objetivos específicos del gobierno federal de Estados Unidos. Una técnica descubierta empleaba la modificación de las credenciales y/o claves X509 para aplicaciones OAuth con acceso de lectura/escritura de correo electrónico (por ejemplo, aplicaciones de archivado de correo electrónico). Estos cambios garantizaban un fácil acceso a todas las comunicaciones de correo electrónico de forma continua a través de llamadas API, con muy pocas posibilidades de detección.

La creación de acceso redundante de Azure AD de Vectra se activará en estos tipos de cambios en los permisos de aplicaciones OAuth.

Con el acceso a Office 365 a nivel de administrador, también se podrían utilizar otras técnicas para mantener el acceso tanto al correo electrónico como a otros datos de Office 365. Entre ellas se incluyen:

• Configuración de búsquedas de eDiscovery y Compliance para buscar información específica en todos los canales de Office 365: correo electrónico, Teams, OneDrive y SharePoint. Estas aplicaciones están cubiertas por los modelos de detección de búsquedas sospechosas de eDiscovery y de cumplimiento normativo de Vectra.
• Crear flujos de Power Automate para exfiltrar automáticamente los datos, ya sea a través de HTTP o a destinos externos como cuentas de Google Drive o Box controladas por el atacante. La detección de Power Automate sospechoso de Vectra aborda este vector.
• Otras técnicas menos sigilosas, como el reenvío de correo electrónico o las reglas de transporte, también son opciones. Estos también están cubiertos por los modelos de detección de Vectra - Reenvío de correo electrónico sospechoso y Regla de transporte sospechosa.

El valor de NDR

El pirateo de SolarWinds demuestra la utilidad -y necesidad- de las soluciones NDR a la hora de tomar medidas para detectar brechas que hayan eludido la seguridad preventiva y proteger los datos. Las tecnologías basadas en redes son fundamentales para contrarrestar la creciente sofisticación de las amenazas.

Vectra protege de forma única toda la red de conectividad híbrida, local y cloud con modelos de comportamiento de aprendizaje que comprenden tanto los hosts como las identidades, rastreando y deteniendo a los atacantes antes en la cadena de muerte.

Si está listo para cambiar su enfoque para detectar y responder a ciberataques como estos, y para conocer más de cerca cómo la plataforma Vectra Cognito puede encontrar herramientas y exploits de atacantes, programe una demostración con Vectra hoy mismo.