image

Microsoft laat zien hoe SolarWinds-aanvallers onopgemerkt bleven

donderdag 21 januari 2021, 11:19 door Redactie, 5 reacties

De aanvallers achter de wereldwijde SolarWinds-aanval waren zeer bedreven in operationele security en deden veel moeite om hun sporen te wissen en niet te worden opgemerkt. Dat stelt Microsoft in een nieuwe analyse van de technieken en tactieken die de aanvallers toepasten om onder de radar te blijven.

De aanvallers wisten, voor zover nu bekend, in 2019 toegang te krijgen tot systemen van SolarWinds en voegden vervolgens een backdoor toe aan updates voor het Orion Platform van het softwarebedrijf. Via deze backdoor werd bij een select aantal slachtoffers aanvullende malware geïnstalleerd. De malware had als doel het laden van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren.

Volgens Microsoft deden de aanvallers al het mogelijke om het laden van Cobalt Strike te scheiden van het SolarWinds-proces. Mocht de aangevallen organisatie de aanwezigheid van Cobalt Strike ontdekken, dan zou de backdoor in SolarWinds mogelijk onopgemerkt blijven.

Het is niet de enige maatregel die de aanvallers namen om niet op te vallen. Zo werd voor elke besmette computer een aparte Cobalt Strike-dll gebruikt. Ook gebruikte mapnamen, bestandsnamen, exportfunctienamen, command & control-domeinen, http-requests, tijden, bestandsmetadata, configuraties en gestarte processen waren voor elke machine uniek.

Zelfs de archiefbestanden die via 7-Zip werden gemaakt waren van een uniek wachtwoord voorzien, en ook voor de gegenereerde logbestanden gebruikten de aanvallers unieke namen. Volgens Microsoft doen aanvallers zelden zoveel moeite per besmette machine en moest het identificatie van alle besmette computers binnen een netwerk voorkomen.

De tools en bestanden waar de aanvallers mee werkten werden altijd hernoemd en in mappen geplaatst die zich voordeden als bestanden en programma's die al op het systeem aanwezig waren. Veel van de activiteiten op de geïnfecteerde systemen waren handwerk aan de kant van de aanvallers. Voordat ze aan de slag gingen werd eerst het loggen van events uitgeschakeld en na afloop weer ingeschakeld.

Op een soortgelijke manier werden er firewallregels gebruikt wanneer er verkeer plaatsvond dat zou kunnen opvallen. Deze regels werden na afloop van de activiteiten weer verwijderd. Het lateraal bewegen door de getroffen organisatie vond pas plaats nadat bepaalde beveiligingssoftware eerst was uitgeschakeld. Microsoft vermoedt dat de aanvallers ook timestaps van bestanden hebben aangepast en "professionle wisprocedures" toepasten om het achterhalen van gebruikte bestanden te bemoeilijken.

Tijdlijn

Voor zover nu bekend werd in februari vorig jaar voor het eerst een backdoor aan de updates van SolarWinds toegevoegd. Deze update werd in maart uitgerold. De backdoor werd pas twee weken na de installatie bij organisaties actief. Microsoft denkt dat de aanvallers een maand bezig waren om hun slachtoffers te selecteren en voor elke organisatie een aparte Cobalt Strike-dll te maken, alsmede de command en control-infrastructuur op te zetten.

In juni besloten de aanvallers hun backdoor weer uit de code van SolarWinds te verwijderen. Dit geeft mogelijk aan dat de aanvallers voldoende interessante doelwitten hadden gevonden en hun doel veranderde van het verspreiden van de backdoor naar het actief zijn op de netwerken van geselecteerde organisaties, aldus Microsoft.

Image

Reacties (5)
21-01-2021, 12:42 door Anoniem
Titel klopt niet. Ze zijn wel opgemerkt.
21-01-2021, 23:13 door Anoniem
Door Anoniem: Titel klopt niet. Ze zijn wel opgemerkt.
Tot ze opgemerkt werden zijn ze toch onopgemerkt gebleven? N.B. bleven is verleden tijd.
22-01-2021, 00:05 door Anoniem
Microsoft laat zien hoe ze zelf lekker zitten te exploiteren en nog meer data zijn aan het minen..
Herinnert iemand zich _NSAKEY ?
22-01-2021, 04:37 door Anoniem
Door Anoniem: Titel klopt niet. Ze zijn wel opgemerkt.
Titel klopt wel. Er staat bleven, niet blijven.
22-01-2021, 08:01 door Anoniem
Tot zover je verkoop praatje als antivirus bedrijf of SOC oplossing.
'We beschermen u tegen alles wat we weten. Alles en iedereen die we niet kennen zullen we ook niet herkennen en kan ongestoord zijn gang gaan. Maar als het te laat is kunnen we wel vertellen dat het fout was.'
Net als het standaard antwoord: vermoedelijk Rusland, China of 1 van de Korea broertjes & fakenews als reactie.

#hetistevroegvoordezeonzin #koffie
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.