Orientación para el cliente sobre ciberataques recientes de estados nacionales – Centro de respuesta de seguridad de Microsoft

Esta publicación contiene detalles técnicos sobre los métodos del actor que creemos estuvo involucrado Ciberataques recientes del Estado-nación, con el objetivo de permitir que la comunidad de seguridad en general busque actividad en sus redes y contribuya a una defensa compartida contra este sofisticado actor de amenazas.

Como escribimos en ese blog, si bien estos elementos no están presentes en todos los ataques, este es un resumen de las técnicas que forman parte del conjunto de herramientas de este actor.

  • Una intrusión a través de código malicioso en el producto SolarWinds Orion. Esto da como resultado que el atacante se establezca en la red, que el atacante puede usar para obtener credenciales elevadas. Microsoft Defender ahora tiene detecciones para estos archivos. Ver también Aviso de seguridad de SolarWinds.
  • Una vez en la red, el intruso usa los permisos administrativos adquiridos a través del compromiso local para obtener acceso a la cuenta de administrador global de la organización y / o al certificado de firma de token SAML confiable. Esto le permite al actor falsificar tokens SAML que se hacen pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados.
  • Los inicios de sesión anómalos que utilizan los tokens SAML creados por el certificado de firma de tokens comprometidos se pueden realizar en cualquier recurso local (independientemente del sistema de identidad o proveedor), así como en cualquier entorno de nube (independientemente del proveedor) porque se han configurado para confiar el certificado. Debido a que los tokens SAML están firmados con su propio certificado de confianza, la organización puede pasar por alto las anomalías.
  • Utilizando la cuenta de administrador global y / o el certificado de confianza para hacerse pasar por cuentas con muchos privilegios, el actor puede agregar sus propias credenciales a las aplicaciones existentes o los principales de servicio, lo que les permite llamar a las API con el permiso asignado a esa aplicación.

Debido a la naturaleza crítica de esta actividad, Microsoft comparte la siguiente información para ayudar a detectar, proteger y responder a esta amenaza.

Descripción de la actividad

Acceso inicial

Aunque no sabemos cómo llegó el código de la puerta trasera a la biblioteca, a partir de las campañas recientes, las investigaciones indican que los atacantes podrían haber comprometido los sistemas internos de construcción o distribución de SolarWinds, incrustando código de puerta trasera en una biblioteca legítima de SolarWinds con el nombre del archivo. SolarWinds.Orion.Core.BusinessLayer.dll. Esta puerta trasera se puede distribuir a través de plataformas o sistemas de actualización automática en redes de destino vistas globalmente desde marzo de 2020. Los investigadores de seguridad de Microsoft tienen información limitada sobre cómo comprometieron dichas plataformas en este momento.

Ejecución

Al actualizar la aplicación SolarWinds, el código de puerta trasera incorporado se carga antes de que se ejecute el código legítimo. Se engaña a las organizaciones haciéndoles creer que no se ha producido ninguna actividad maliciosa y que el programa o la aplicación que depende de las bibliotecas se está comportando como se esperaba.

Los atacantes han comprometido bibliotecas firmadas que utilizan los propios certificados digitales de las empresas objetivo, intentando evadir las tecnologías de control de aplicaciones. Microsoft ya eliminó estos certificados de su lista de confianza. Los detalles del certificado con el hash del firmante se muestran a continuación:

Luego, la DLL se carga desde la carpeta de instalación de la aplicación SolarWinds. Posteriormente, el implante principal se instala como un servicio de Windows y como un archivo DLL en la siguiente ruta usando una carpeta con diferentes nombres:

  • Carpeta de instalación de SolarWinds Orion, por ejemplo, %PROGRAMFILES%SolarWindsOrionSolarWinds.Orion.Core.BusinessLayer.dll
  • La carpeta de caché de .NET Assembly (cuando se compila) %WINDIR%System32configsystemprofileAppDataLocalassemblytmpSolarWinds.Orion.Core.BusinessLayer.dll

Los investigadores de seguridad de Microsoft observaron que el código malicioso del atacante se activaba solo cuando se ejecutaba bajo SolarWinds.BusinessLayerHost.exe contexto de proceso para las muestras DLL actualmente analizadas.

Mando y control (C2)

La DLL maliciosa llama a una infraestructura de red remota utilizando los dominios avsvmcloud.com. para preparar posibles cargas útiles de segunda etapa, moverse lateralmente en la organización y comprometer o exfiltrar datos.

Microsoft detecta el implante principal y sus otros componentes como Solorigate.

Acciones sobre objetivos

En las acciones observadas en la nube de Microsoft, los atacantes han obtenido acceso administrativo utilizando credenciales de cuentas privilegiadas comprometidas (por ejemplo, contraseñas robadas) o falsificando tokens SAML utilizando certificados de firma de tokens SAML comprometidos.

En los casos en los que vemos el compromiso del certificado de firma de tokens SAML, hay casos en los que no se ha determinado el mecanismo específico por el cual el actor obtiene acceso al certificado. En los casos que determinamos que el certificado de firma de tokens SAML estaba comprometido, se utilizaron herramientas comunes para acceder a la base de datos que soporta el servidor de federación SAML mediante el acceso administrativo y las capacidades de ejecución remota.

En otros casos, se habían otorgado privilegios administrativos a las credenciales de la cuenta de servicio; y en otros, las cuentas administrativas pueden haberse visto comprometidas por mecanismos no relacionados. Normalmente, el certificado se almacena en el servidor que proporciona las capacidades de federación SAML; esto lo hace accesible para cualquier persona con derechos administrativos en ese servidor, ya sea desde el almacenamiento o leyendo la memoria.

Una vez que se ha adquirido el certificado, el actor puede falsificar tokens SAML con cualquier reclamo y vida útil que elija, luego firmarlo con el certificado que se ha adquirido. Al hacer esto, pueden acceder a cualquier recurso configurado para confiar en tokens firmados con ese certificado de firma de token SAML. Esto incluye la falsificación de un token que afirma representar una cuenta con muchos privilegios en Azure AD.

Al igual que con las cuentas locales, el actor también puede obtener privilegios administrativos de Azure AD con credenciales comprometidas. Esto es particularmente probable si la cuenta en cuestión no está protegida por autenticación multifactor.

Independientemente de si el actor acuñó tokens SAML o obtuvo acceso a Azure AD a través de otros medios, se han observado actividades maliciosas específicas utilizando estos privilegios administrativos para incluir acceso a largo plazo y acceso a datos como se describe a continuación.

Acceso a largo plazo

Habiendo ganado un punto de apoyo significativo en el entorno local, el actor ha realizado modificaciones en la configuración de Azure Active Directory para facilitar el acceso a largo plazo.

  1. Fideicomisos de la federación
    • Microsoft ha observado al actor agregar nuevos fideicomisos de federación a un inquilino existente o modificando las propiedades de una confianza de federación existente para aceptar tokens firmados con certificados propiedad del actor.
  2. Credenciales de la entidad de servicio y la aplicación OAuth
    • Se ha observado que el actor agrega credenciales (claves x509 o credenciales de contraseña) a una o más aplicaciones OAuth legítimas o directores de servicio, generalmente con Correo. Leer o Mail.ReadWrite permisos, que otorga la capacidad de leer contenido de correo de Exchange Online a través de Microsoft Graph o Outlook REST. Los ejemplos incluyen aplicaciones de archivo de correo. Los permisos suelen ser AppOnly, pero no siempre.
    • El actor puede usar sus privilegios de administrador para otorgar permisos adicionales a la Aplicación de destino o al Principal de servicio (p. Ej. Correo. Leer, Mail.ReadWrite).

Acceso a los datos

El acceso a los datos se ha basado en aprovechar los tokens SAML acuñados para acceder a los archivos / correo electrónico de los usuarios o hacerse pasar por las aplicaciones o los directores de servicio mediante la autenticación y la obtención de los tokens de acceso utilizando las credenciales que se agregaron en 2a. Encima. El actor se conecta periódicamente desde un servidor en un proveedor de VPS para acceder a los correos electrónicos de usuarios específicos utilizando los permisos otorgados a la Aplicación o el Director de Servicio suplantados. En muchos casos, los usuarios objetivo son personal clave de TI y seguridad. Al hacerse pasar por aplicaciones existentes que usan permisos como Correo. Leer para llamar a las mismas API aprovechadas por el actor, el acceso está oculto entre el tráfico normal. Por esta razón, si sospecha que se ve afectado, debe asumir que sus comunicaciones son accesibles para el actor.

Defensas recomendadas

Si su organización no ha sido atacada o comprometida por este actor, Microsoft recomienda que considere las siguientes acciones para protegerse contra las técnicas descritas anteriormente como parte de su respuesta general. Esta no es una lista exhaustiva y Microsoft puede optar por actualizar esta lista a medida que se determinan nuevas mitigaciones:

  1. Ejecute productos antivirus o EDR actualizados que detecten bibliotecas SolarWinds comprometidas y comportamientos de procesos potencialmente anómalos de estos binarios. Considere la posibilidad de desactivar SolarWinds en su entorno por completo hasta que esté seguro de que tiene una compilación confiable sin código inyectado. Para más detalles consultar Aviso de seguridad de SolarWinds.
  2. Bloquee los puntos finales C2 conocidos que se enumeran a continuación en IOC utilizando su infraestructura de red.
  3. Siga las mejores prácticas de su proveedor de tecnología de federación de identidad para proteger sus claves de firma de tokens SAML. Considere la seguridad del hardware para sus certificados de firma de token SAML si su proveedor de tecnología de federación de identidad lo admite. Consulte a su proveedor de tecnología de federación de identidad para obtener más detalles. Para los servicios de federación de Active Directory, revise las recomendaciones de Microsoft aquí: Prácticas recomendadas para proteger ADFS
  4. Asegúrese de que las cuentas de usuario con derechos administrativos sigan las mejores prácticas, incluido el uso de estaciones de trabajo de acceso privilegiado, JIT / JEA y autenticación sólida. Reduzca la cantidad de usuarios que son miembros de roles de directorio con privilegios elevados, como administrador global, administrador de aplicaciones y administrador de aplicaciones en la nube.
  5. Asegúrese de que las cuentas de servicio y los directores de servicio con derechos administrativos utilicen secretos de alta entropía, como certificados, almacenados de forma segura. Supervise los cambios en los secretos utilizados para las cuentas de servicio y los principales de servicio como parte de su programa de supervisión de seguridad. Supervisar el uso anómalo de las cuentas de servicio. Supervise sus inicios de sesión . Microsoft Azure AD indica anomalías en la sesión, al igual que Microsoft Cloud App Security si está en uso.
  6. Reduzca el área de superficie eliminando / deshabilitando las aplicaciones y los principales de servicio no utilizados o innecesarios. Reduzca los permisos en las aplicaciones activas y los principales de servicio, especialmente los permisos de aplicaciones (AppOnly).
  7. Ver Proteja su infraestructura de identidad de Azure AD para obtener más recomendaciones.

Microsoft ha publicado varias detecciones para Centinela azur que proporcionan señales adicionales para las técnicas posteriores al compromiso observadas en estas intrusiones. Para los clientes que no tienen Azure Sentinel, se puede usar la misma lógica de detección para buscar a través del Registro de auditoría unificado (UAL):

El antivirus Microsoft Defender proporciona detecciones de componentes de amenazas bajo la siguiente detección:

Troyano: MSIL / Solorigate.B! Dha

Versión de detección 1.329.368.0 o superior. Si cree que su organización se ha visto comprometida, le recomendamos que audite exhaustivamente su infraestructura local y en la nube para incluir la configuración, la configuración por usuario y por aplicación, las reglas de reenvío y otros cambios que el actor pueda haber realizado para mantener su acceso. Además, recomendamos eliminar por completo el acceso de usuarios y aplicaciones, revisar las configuraciones para cada uno y volver a emitir credenciales nuevas y sólidas de acuerdo con las mejores prácticas documentadas de la industria.

La siguiente lista proporciona los COI observados durante esta actividad. Alentamos a nuestros clientes a implementar detecciones y protecciones para identificar posibles campañas anteriores o prevenir campañas futuras contra sus sistemas. Esta lista no es exhaustiva y puede ampliarse a medida que continúen las investigaciones. También le recomendamos que revise los IOC proporcionados por FireEye en Atacante altamente evasivo aprovecha la cadena de suministro de SolarWinds para comprometer a múltiples víctimas globales con SUNBURST Backdoor | FireEye Inc.

Comando y control

avsvmcloud (.) com Mando y control (C2)

Instancias maliciosas observadas de SolarWinds.Orion.Core.BusinessLayer.dll

SHA256 Versión del archivo Fecha de primera vista
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 2019.4.5200.9083 Marzo de 2020
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b 2020.2.100.12219 Marzo de 2020
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed 2020.2.100.11831 Marzo de 2020
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77 No disponible Marzo de 2020
ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c 2020.4.100.478 Abril de 2020
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 2020.2.5200.12394 Abril de 2020
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 2020.2.5300.12432 Mayo de 2020
a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc 2019.4.5200.8890 Octubre de 2019
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af 2019.4.5200.8890 Octubre de 2019

Comentario del analista: Estos indicadores no deben considerarse exhaustivos para esta actividad observada. Además, además de las DLL maliciosas, los investigadores de Microsoft han observado dos archivos en octubre de 2019 con anomalías de código cuando se agregó una clase a la DLL de SolarWinds. Sin embargo, tenga en cuenta que estos dos no tienen códigos o métodos maliciosos activos.



Fuente del articulo