Microsoft laat zien hoe SolarWinds-aanvallers onopgemerkt bleven

[Captain Kirk]

De aanvallers achter de wereldwijde SolarWinds-aanval waren zeer bedreven in operationele security en deden veel moeite om hun sporen te wissen en niet te worden opgemerkt. Dat stelt Microsoft in een nieuwe analyse van de technieken en tactieken die de aanvallers toepasten om onder de radar te blijven.

De aanvallers wisten, voor zover nu bekend, in 2019 toegang te krijgen tot systemen van SolarWinds en voegden vervolgens een backdoor toe aan updates voor het Orion Platform van het softwarebedrijf. Via deze backdoor werd bij een select aantal slachtoffers aanvullende malware geïnstalleerd. De malware had als doel het laden van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren.

Volgens Microsoft deden de aanvallers al het mogelijke om het laden van Cobalt Strike te scheiden van het SolarWinds-proces. Mocht de aangevallen organisatie de aanwezigheid van Cobalt Strike ontdekken, dan zou de backdoor in SolarWinds mogelijk onopgemerkt blijven.

Het is niet de enige maatregel die de aanvallers namen om niet op te vallen. Zo werd voor elke besmette computer een aparte Cobalt Strike-dll gebruikt. Ook gebruikte mapnamen, bestandsnamen, exportfunctienamen, command & control-domeinen, http-requests, tijden, bestandsmetadata, configuraties en gestarte processen waren voor elke machine uniek.

Zelfs de archiefbestanden die via 7-Zip werden gemaakt waren van een uniek wachtwoord voorzien, en ook voor de gegenereerde logbestanden gebruikten de aanvallers unieke namen. Volgens Microsoft doen aanvallers zelden zoveel moeite per besmette machine en moest het identificatie van alle besmette computers binnen een netwerk voorkomen.

De tools en bestanden waar de aanvallers mee werkten werden altijd hernoemd en in mappen geplaatst die zich voordeden als bestanden en programma's die al op het systeem aanwezig waren. Veel van de activiteiten op de geïnfecteerde systemen waren handwerk aan de kant van de aanvallers. Voordat ze aan de slag gingen werd eerst het loggen van events uitgeschakeld en na afloop weer ingeschakeld.

Op een soortgelijke manier werden er firewallregels gebruikt wanneer er verkeer plaatsvond dat zou kunnen opvallen. Deze regels werden na afloop van de activiteiten weer verwijderd. Het lateraal bewegen door de getroffen organisatie vond pas plaats nadat bepaalde beveiligingssoftware eerst was uitgeschakeld. Microsoft vermoedt dat de aanvallers ook timestaps van bestanden hebben aangepast en "professionle wisprocedures" toepasten om het achterhalen van gebruikte bestanden te bemoeilijken.

Tijdlijn

Voor zover nu bekend werd in februari vorig jaar voor het eerst een backdoor aan de updates van SolarWinds toegevoegd. Deze update werd in maart uitgerold. De backdoor werd pas twee weken na de installatie bij organisaties actief. Microsoft denkt dat de aanvallers een maand bezig waren om hun slachtoffers te selecteren en voor elke organisatie een aparte Cobalt Strike-dll te maken, alsmede de command en control-infrastructuur op te zetten.

In juni besloten de aanvallers hun backdoor weer uit de code van SolarWinds te verwijderen. Dit geeft mogelijk aan dat de aanvallers voldoende interessante doelwitten hadden gevonden en hun doel veranderde van het verspreiden van de backdoor naar het actief zijn op de netwerken van geselecteerde organisaties, aldus Microsoft.

 

bron: https://www.security.nl