ניטור וזיהוי Solorigate באמצעות Azure Sentinel / MDE / MCAS

בימים האחרונים של סוף שנת 2020, אנו עדים לאחת מהתקפות הסייבר הגדולות שהיו כאן, לפחות בעולם הדיגיטלי המוכר לנו.

התקפת הסייבר שכוונה בתחילה אל חברת האבטחה FireEye, אך ככל שעבר הזמן התבררה היקף הפגיעה, ולאחר תחקור של מספר גורמי אבטחה נוכחנו לדעת כי מקור התקיפה הוא בחברת SolarWinds. בימים בלאחר מכן הודיעה SolarWinds שהמערכות שלה אכן נפרצו.

“המערכות שלנו חוו התקפת שרשרת אספקה ידנית מתוחכמת מאוד על פלטפורמת SolarWinds Orion עבור גרסאות 2019.4 HF 5 עד 2020.2.1, שפורסמה בין מרץ 2020 ליוני 2020”. הודעה של חברת SolarWinds.

עוד נמסר מחברת SolarWinds: “מאחורי התקיפה עומדת יישות מאשר מגובה על ידי מדינה, מדובר על התקפה ממוקדת וחסרת תקדים על לקוחות החברה”.

מכיוון שמדובר בתקיפה חריגה כנגד SolarWinds גם המועצה לביטחון לאומי בארה”ב התכנסה לישיבת חירום, וזאת בגלל כמות החברות שנמצאות תחת סיכון מיידי.

בנוסף לכך נקטו השבוע מספר גורמי אבטחה בהובלה של Microsoft מספר פעולות וצעדים מהירים ופעולות בהיקפים שלא נראו עד כה בפרק זמן קצר כנגד התקפת שרשרת האספקה של SolarWinds.

לפי גורמי אבטחה שונים בינהם, Microsoft, FireEye וכן CISA, התוקפים השתלטו על שרת המשמש לבניית עדכונים לפלטפורמת SolarWinds Orion, מוצר המשמש לניהול תשתיות IT. התוקפים השתמשו בשרת שנפרץ על מנת להכניס תוכן זדוני שנקרא Solorigate לפי הניתוח האבטחה של Microsoft או SUNBURST לפי ניתוח האבטחה של FireEye.

בשבוע האחרון בוצעו מספר פעולות ע”י Microsoft לטובת הורדת הסיכונים ואף ביטול חלק מאפשרויות התוקף:

• ביום בו פורסמה התקיפה בוצעה הסרה של האישורים והתעודות הדיגיטלים בהם השתמשו הקבצים של SolarWinds עם התוכן הזדוני, והחל מאותו רגע כל אותם קבצים הם קבצים לא אמינים מבחינת מערכת הפעלה לתחנות ושרתים.
• עדכון חירום לכלל מערכות ההגנה כולל Microsoft Defender AV בכדי לזהות ולהתריע האם ישנם קבצים עם תוכן זדוני של אותה תקיפה או קבצים הקשורים באופן עקיף לתקיפה.
• ביטול השליטה בדומיין אשר שימש לביצוע מטרות התקיפה על סמך פסיקה משפטית, ולמעשה ביטול הדומיין avsvmcloud[.]com אשר שימש לפעולות C2 של התוקף. למעשה בוצע פעולת killswitch. כרגע הדומיין מפנה אל Microsoft בכדי לבנות רשימת של כל הארגונים שהותקפו ונפלו קורבן.
• שינוי פעולות דיפולטיות של Microsoft Defender for AV ממצב זיהוי למצב הסגר ואכיפה על קבצים עם תוכן זדוני הקשורים אל Solorigate.

במאמר מצוין שפורסם על ניתוח התקיפה Solorigate, אפשר לראות את שלבי התקיפה החל משלב reconnaissance פנימי עם פעולות שונות כמו לאמת שהמטרה מכילה תהליכים זדוניים עם הקובץ solarwinds.businesslayerhost.exe כולל זמני כתיבה לקובץ ופרמטרים לזיהוי בין התוקף לקורבן.

מכאן הדרך לביצוע backdoor ושלב execution הוא פנוי ומאפשר לבצע פעולות C2 ע”י מניפולציה של פעולות שונות החל מיצירת תהליכים ברקע, דרך שליחת מידע על המערכות ועד שליחת מידע מול דומיין נפרד. דרך הפעולות האלה התוקף ביצע אנומרציה על סביבות שונות ואסף מידע ברמת התחנה והמשתמש.

במהלך התקיפה בוצעו פעולות נוספות כמו תנועה רוחבית מול הענן, איסוף מידע על חשבונות בעלי הרשאות, הסתתרות מפני מערכות זיהוי ובייפאס על מערכות הגנה שונות.

פרטים נוספים לגבי ניתוח התקיפה במאמר של קבוצת המוצר

זיהוי וניטור Solorigate

מתקפות מהסוג הנ”ל אינן מתרחשות כל יום אך מזכירות לנו את הצורך בהקשחה של מערכות ואובייקטים לצד מערכות הגנה נדרשות ודרכי פעולה אפשרויות במקרה של אירוע אבטחה.

חברות אבטחה שונות ובמיוחד Microsoft הוציאו אינדיקטורים לגבי קבצים, דומיים וכתובות IP השייכים לתקיפה החל מהדומיינים המוכרים ועד מאפיינים כמו Hash אשר שייכים לקבוצי SolarWinds.

במאגר מתוך חשבון הגיטהאב שלי ריכזתי את כל האינדיטקורים הרלוונטיים שהוצאו ע”י חברות האבטחה השונות, קישור למאגר https://github.com/eshlomo1/solarwindshack-iocs

אחרי שיש לנו אינדיטקורים אנו יכולים להתחיל בניטור וזיהוי ע”י מערכות שונות כמו Azure Sentinel, Microsoft Defender for Endpoint, Microsoft Cloud App Security.

זיהוי באמצעות Microsoft Defender for Endpoint – בממשק MDE ישנם מספר אפשרויות לזיהוי קוד זדוני הקשור לתקיפה במידה והתתרשחו פעולות כמו גישה לדומיינים ספציפיים הקשורים לתקיפה, בינאריים הקשורים לקבצים של SolarWinds, ניסיונות לזיהוי של מפתחות הצפנה של ADFS, פעולות חשודות מול תיבות דואר וניסיונות התחזות מול Active Directory.

בממשק Threat analytics ישנו דוח אנליסטים שמתאר את הבעיה ומכיל מיטיגציה לגבי מכונות שנמצאות בסיכון, המיטגיציה נחלקת לשניים: ברמת קונפיגורציה וברמת חשיפה לקוד זדוני.

בממשק TVM ומתוך האפשרויות של Weaknesses אפשר לחפש את TVM-2020-0002 ולזהות מכונות אשר נחשפו לבינאריים של SolarWInds.

מתוך ממשק Advanced Hunting נוכל להריץ שאילתות שונות לזיהוי התקיפה ברמת קבצים, דומיינים ותעבורת רשת. בדוגמה הנ”ל ניתן לראות גישה לקבצים הקשורים לתקיפה.

קישור שאילתות שמתאימות להרצה מתוך Azure Sentinel או מתוך MDE

לצד זיהוי וניטור גישה ניתן לבצע פעולות מנע כמו הפרדה של מכונות, חסימה של אתרים שונים ברמת Web Filtering, הוסםת אינדיקטור ברמת דומיין, Hash וכתובות IP.

זיהוי באמצעות Microsoft Cloud App Security – ניתן לנטר ולזהות תנועות חריגות, כמו נגיעה בחשבונות פריבילגיים, גישה לא מורשית לתיבות דואר בענן ותנועות חריגות מול אפליקציות SaaS.

ביצירת שאילתה פשוטה בממשק Activity Log ניתן לבדוק תנועות חריגות לאפליקציות, תיבות דואר והתנהגות אדמין חריגה.

טיפ: בפוליסי של MCAS ישנם בדיפולט פוליסי לזיהוי תנועות חריגות של OAuth שניתנים להפעלה

זיהוי באמצעות Azure Sentinel – מכיוון שמקורות המידע מחוברים אל Azure Sentinel במערכת SIEM ארגונית אנו יכולים לנטר את כל מקורות המידע וליצור חוקים, Workbookים ולהכניס IOC לטובת זיהוי.

למשל אם נקח כתובות IP הקשורים לתקיפה ונריץ שאילתה מול וונדור ספציפי כמו Palo Alto (אפשר להוסיף כתובות והריץ ללא DeviceVendor)

הפעולות והאפשרויות הנ”ל הן אפשרויות ראשוניות שניתן לבצע באמצעות כלי האבטחה שונים של Security E5, וניתן להריץ את כלל השאילתות מתוך המאגר בכדי לבצע זיהוי וניטור של ארטיפקטים בתקיפה.

המאמר יתעדכן עם אפשרויות ליצירת חוקי אנליטיקות ופעולות מנע בכלים שהוזכרו במאמר.