Clever Geek Handbook

Os hackers da SolarWinds espalham seus bytes no tráfego HTTP por meio de expressões regulares



A validade da assinatura digital no DLL com backdoor integrado em



praticamente todas as mídias centrais foi a notícia do roubo do software SolarWinds na campanha global de ciberespionagem. Aqui você precisa entender a escala do ataque: este software para monitorar a infraestrutura de TI (CPU, RAM, rede) é usado por milhares de empresas privadas e agências governamentais, incluindo NSA, Pentágono, Departamento de Estado, etc. Um total de 300.000 clientes em todo o mundo (esta página já foi removida do site oficial da SolarWinds, o link é uma cópia do arquivo da web).



O mais interessante neste ataque: 1) a introdução de um backdoor nas atualizações do SolarWinds e 2) o mecanismo original de ocultar dados no tráfego de serviço HTTP do programa SolarWinds. Em poucas palavras, falaremos sobre o método de esteganografia (sinalização encoberta) que foi usado aqui.



Alguns detalhes sobre o ataque foram publicados pela FireEye em um relatório datado de 13 de dezembro de 2020. Esta empresa americana deve proteger as redes de seus clientes de tal sabotagem, mas no final ela própria sofreu hacking junto com eles.



Alguns clientes da SolarWinds:







Principais fatos



  • A porta dos fundos foi descoberta sete meses após o início do ataque e recebeu o codinome SUNBURST. Considerando a escala da infecção, esta é uma falha grave das empresas de antivírus.

  • DLL SolarWinds Orion, .





    SolarWinds Orion




O backdoor foi encontrado na biblioteca SolarWinds.Orion.Core.BusinessLayer.dll , que é assinada com uma assinatura digital válida da SolarWinds Worldwide, LLC (captura de tela acima).



Em particular, várias atualizações do programa SolarWinds Orion para março-maio ​​de 2020 foram infectadas, as quais foram distribuídas com uma assinatura digital válida.



Era um arquivo de patch padrão do Windows Installer com todos os recursos usuais, incluindo a biblioteca SolarWinds.Orion.Core.BusinessLayer.dll infectada . Após a instalação, a biblioteca normalmente era carregada na memória pelo executável SolarWinds.BusinessLayerHost.exe regular .



A Microsoft explicou que os invasores “usaram [comprometimento local] para obter acesso ao certificado de assinatura de token SAML confiável da organização [SolarWinds]. Isso permitiu que eles falsificassem tokens SAML para todos os usuários e contas existentes da organização, incluindo os altamente privilegiados. " Aparentemente, estamos falando de penetração física no escritório da empresa (comprometimento local).



Características únicas



  • Domain Generation Algorithm (DGA) para gerar subdomínios e modificar consultas DNS. O Trojan enviou um pedido de resolução do subdomínio avsvmcloud [.] Com , e a resposta DNS continha um registro CNAME indicando o servidor de comando.

  • Todo o tráfego foi mascarado como tráfego de rede usando o protocolo de serviço Orion Improvement Program (OIP) por meio da API SolarWinds. Assim, os antivírus e firewalls não conseguiam distinguir entre a atividade backdoor e a atividade real do SolarWinds.

  • O código backdoor foi embutido em componentes de software padrão.


Esteganografia



E aqui está a parte mais interessante - como exatamente os pacotes mascarados de backdoor no tráfego de rede normal:



HTTP GET HTTP HEAD, — HTTP PUT HTTP POST. PUT , 10000 ; POST. HTTP- If-None-Match userID, , .



JSON HTTP POST PUT userId, sessionId steps. DEFLATE XOR. Base64.



HTTP- XML, .NET. GUID HEX. HTTP- hex- : \{[0-9a-f-]{36}\}"|"[0-9a-f]{32}"|"[0-9a-f]{16}



. , GUID HEX. -HEX, HEX. DWORD , , . XOR , DEFLATE. — ASCII, JobEngine , .




No caso de tais ataques avançados, é impossível identificar os desenvolvedores do programa. Os pesquisadores fazem suposições com base na coincidência do código com ferramentas de hacking descobertas anteriormente, bem como com base em quem exatamente foi vítima de espionagem.



Por exemplo, em 2010 as instalações de enriquecimento de urânio iranianas foram danificadas . O malware Stuxnet muito avançado alterou ligeiramente a velocidade de rotação das instalações - e eventualmente as desativou. Nesse sentido, é lógico supor que os clientes e desenvolvedores do malware eram os serviços secretos dos Estados Unidos e de Israel , uma vez que esses países estão sistematicamente tentando impedir a fabricação de armas nucleares no Irã, nem sempre por métodos diplomáticos.



Quanto ao backdoor SUNBURST, é mais provável que seja atribuído a hackers russos do grupo APT29 (Cozy Bear), com base na engenhosidade das técnicas utilizadas, na escolha dos alvos e na penetração física no escritório da vítima. Embora o cliente e o contratante não sejam conhecidos com certeza.



As regras do Snort para detectar e bloquear o tráfego SUNBURST estão disponíveis publicamente .





More articles:


All Articles