Sunburst und Supernova im Cyberraum – Wir unterstützen Sie.

Alles fing mit der Entdeckung des Cyberangriffs auf die Firma Fireeye an, bei dem bereits veröffentlichte und zum Penetration Testing verwendete RED Teaming Tools gestohlen wurden. Ob die eigene Fireeye Softwarelösung von den Angreifern manipuliert wurde, ist derzeit noch unklar. Unklar ist auch, ob weitere unbekannte Fireeye Red Teaming Tools, die im Pentesting-Bereich zum Einsatz kommen, entwendet wurden. Durch die Untersuchung des Vorfalls bei Fireeye wurde erkannt, dass die Softwarelösung Solarwinds Orion manipuliert wurde. In diesem Fall wird von einem „Supply-Chain-Angriff“ gesprochen, bei dem der Source Code der Orion-Lösung von Solarwinds von den Angreifern manipuliert und eine Backdoor, genannt Sunburst, in den Programmcode eingeschleust wurde.

Wir sprechen hier von einem Worst-Case-Szenario, da über 18.000 Unternehmen und Organisationen weltweit Orion in ihrem Netzwerk einsetzen und durch die Hintertür potentiell angreifbar wurden, weil die Angreifer durch die Backdoor vollen Systemzugriff erlangen konnten. Aus diesem Grund müssen Solarwinds Kunden mit Orion-Umgebungen davon ausgehen, dass sie vollständig angegriffen wurden.

Nach aktuellen Informationen wird davon ausgegangen, dass die Backdoor seit Q2/Q3 2020 aktiv ist. Laut einer Stellungnahme von Microsoft wurden die bösartigen Solarwinds Binaries zwischenzeitlich auch in den Systemen von Microsoft entdeckt, isoliert und entfernt.

Update vom 13.1.2021: Mittlerweile werden die gestohlenen Daten wie Source Codes, Bugtracker Dumps, Kundenportal-Daten, Binaries, interne Dokumentationen und die privaten Red Teaming Tools von Fireeye, Microsoft, Cisco und Solarwinds im Darknet gehandelt. Ob die Daten echt sind, lässt sich derzeit nicht sagen.

Viele Unternehmen stehen nun vor der Herausforderung, die richtigen Schritte einzuleiten, zumal die Untersuchungen der Sicherheitsforscher zu diesen Vorfällen noch andauern und viele Unklarheiten bestehen.

Das folgende Playbook dient als Hilfestellung, auch wenn bereits erste Schritte unternommen wurden. Vielleicht gibt es Punkte, an die Sie noch nicht gedacht haben. Führen Sie nicht blindlings alle unten aufgeführten Maßnahmen durch. Jede Organisation muss ihre eigene Prüfung durchführen, um festzustellen, welche Auswirkungen die Maßnahmen haben und um sicherzustellen, dass die Maßnahmen compliant sind und keine Kollateralschäden verursachen.

Bei Bechtle stehen Ihnen selbstverständlich unsere Teams aus den Bereichen Incident Response, IT-Forensik und Security zur Verfügung, um Sie zu unterstützen.

Untersuchung/Investigation.

• Forensisches Image des Systems bzw. der Systeme (SolarWinds Orion), inklusive RAM und Hashing der Festplatte
• Sicherung jeglicher Netzwerklogs wie Firewall und NetFlow
• Export alle relevanten Logs der Server

In Bezug auf Accounts/Identitäten, die von SolarWinds Orion zur Durchführung der Überwachung und Verwaltung verwendet werden, und auch auf lokale Accounts auf den SolarWinds Systemen, sollten folgende Fragen beantwortet werden:

• Haben sich die Accounts (erfolgreich oder fehlgeschlagen) bei Systemen oder Anwendungen authentifiziert, die sie nicht hätten authentifizieren sollen?
• Haben Accounts (erfolgreich oder fehlgeschlagen) Authentifizierungsversuche von externen Standorten erhalten, insbesondere von solchen, von denen sie sich zuvor nicht angemeldet haben?
• Haben Accounts Impossible-Travel-Alarme verursacht?
• Wurden verdächtige OAUTH-Anwendungen, z. B. Mail-Read-/Mail-Write-Berechtigungen innerhalb von Office 365 gewährt?

Netzwerk.

• Haben Systeme sich zu bekannten Command and Control Domains oder IP-Adressen verbunden?
• Haben Systeme sich zu DNS-Sinkhole-IP-Adressen 20.140.0.1 verbunden?
• Haben Systeme sich zu irgendwelchen externen Domains oder IP-Adressen verbunden?
• Haben Systeme sich zu irgendwelchen internen Systemen verbunden, zu denen keine Verbindung bestehen sollte?
• Haben Systeme sich zu irgendwelchen internen Systemen zu ungewöhnlichen Zeiten verbunden?
• Wurden neue SAML/ADFS Federation Trusts zu den Azure AD Tenants hinzugefügt?

Endpoint.

• Ist noch immer die Backdoor Dynamic Link Library (DLL) auf dem Solarwinds Orion-System vorhanden?
• Ist die Backdoor DLL auf irgendwelchen anderen Systemen vorhanden?
• Gibt es irgendwelche indicator of suspicious activity auf dem Solarwinds Orion-Server?
• Gibt es Hinweise auf verdächtige Aktivitäten auf Systemen oder Anwendungen, deren Anmeldeinformationen auf den Solarwinds Orion-Systemen gespeichert waren?
• Gibt es verdächtige ASEPs auf den Systemen oder Fernzugriffsoftware?
• Wurden Accounts auf den Solarwinds Orion-Server oder auf Systemen oder Anwendungen, auf die administrativer Zugriff erfolgte, hinzugefügt oder neu aktiviert?
• Wurden alle Konfigurationsdateien von Netzwerkgeräten, auf die Solarwinds Orion Zugriff hatte, validiert?
• Hat die eingesetzte Sicherheitssoftware auf den Solarwinds Orion-Systemen verdächtige Aktivitäten oder Malware erkannt?

Nacharbeiten.

• Wurde auf irgendeinem System eine Aktivität nach der Ausnutzung festgestellt?

- CobaltStrike

- Empire

- Inklusive „c:\windows\syswow64\netsetupsvc.dll“

• Wurde die Domain Ihrer Organisation in RDP SSL-Zertifikaten online geleakt?

Containment/Eindämmung.

• Isolierung der SolarWinds Orion-Server, die die Backdoor Dll enthalten haben. Mögliche Optionen:

- Segmentierung des SolarWinds Orion-Servers

- Null-Routing der IP-Adresse

- Deaktivierung der virtuellen Netzwerkkarte vom Solarwinds Orion-Server (VM)

• Deaktivierung aller Accounts, die von SolarWinds Orion für den Zugriff auf andere Geräte oder die Kommunikation in ihrem Netzwerk verwendet werden. Zu diesen Accounts gehören:

- Orion-Plattform-Dienstkonto

- SQL-Datenbank-Service-Konto

- Service Accounts für die Überwachung von Anwendungen, Systemen und WMI

- Service Account für Mail Alerting

- SNMP

• Blockierung der Netzwerkkommunikation zu den bekannten C2-Domänen und IP-Adressen

- DNS Sinkhole

- IP-Adressen auf der Firewall

- Domain und IP auf dem Proxy

• Alarmierung für jedes System, das auf bekannte Indicators of Compromise (IoCs) von Sunburst zugreift oder die Verwendung einer deaktivierten Benutzer-ID (Endpoint und Netzwerk)  

Eradication/Bereinigung.

• Änderung aller Passwörter von Solarwinds Orion verwendeten Accounts inkl. Service Accounts, Admin Accounts, Shared Accounts etc.
• Änderung aller Passwörter oder Community Strings, die in der Solarwinds Orion-Plattform gespeichert sind
• Entfernung des Solarwinds Orion-Servers aus dem Netzwerk

Recovery/Wiederherstellung.

• Backup der Solarwinds Konfiguration und Datenbank
• Neuinstallation des Betriebssystems von einem sauberen, vertrauenswürdigen Image
• Installation von Solarwinds Version 2020.2.1 HF2
• Sicherstellung der Endpoint-Sicherheit und Visibilität auf dem neuen Server
• Wiederherstellung der Konfiguration und Datenbank aus dem Backup
• Überprüfung vom kryptographischen Hash der Datei „SolarWinds.Orion.Core.BusinessLayer.dll“ und Sicherstellung, dass die Backdoor DLL nicht mehr vorhanden ist

IoC.

https://github.com/fireeye/sunburst_countermeasures

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/

Quellen.

https://mp.weixin.qq.com/s/v-ekPFtVNZG1W7vWjcuVug

https://securelist.com/sunburst-backdoor-kazuar/99981/

https://www.bloomberg.com/news/articles/2020-12-15/fireeye-stumbled-across-solarwinds-breach-while-probing-own-hack

https://www.reuters.com/article/us-usa-cyber-breach/suspected-russian-hacking-spree-used-another-major-tech-supplier-sources-idUSKBN28R2ZJ?il=0

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/

https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/

Stellungnahmen.

Cisco:

https://tools.cisco.com/security/center/resources/solarwinds_orion_event_response

Sofortmaßnahmen.

Microsoft Defender:

https://www.microsoft.com/security/blog/2020/12/15/ensuring-customers-are-protected-from-solorigate/

Die hier vorgestellten Handlungsempfehlungen sollen Ihnen einen Überblick über effektive Maßnahmen geben. Sprechen Sie uns im Zweifelsfall bitte an, wir unterstützen Sie gerne bei der individuellen Ausarbeitung und Umsetzung eines Maßnahmenplans.

Richten Sie Ihre Anfrage bitte an it-security@bechtle.com.