von Nadia Meichtry

Seit Anfang der Woche macht ein Thema viel von sich reden: Die SolarWinds Orion IT-Überwachungs- und Managementsoftware wird derzeit von bösartigen Angreifern ausgenutzt.

FireEye berichtet, dass sich die Angreifer in einem „Lieferkettenangriff“ (Supply-Chain-Angriff) über Updates für Orion von SolarWinds, die einen Trojaner einschleusen, Zugang zu zahlreichen öffentlichen und privaten Organisationen auf der ganzen Welt verschafft haben und dass es bereits im Frühjahr 2020 erste Angriffe dieser Art gab. [1] Die Versionen 2019.4 HF5 bis 2020.2.19.0 von SolarWinds Orion sind betroffen. [2]

Was bedeutet das nun?

SolarWinds.Orion.Core.BusinessLayer.dll ist eine digital signierte schädliche Bibliothek der SolarWinds Orion-Software, die eine Hintertür enthält. Diese als Sunburst bekannte Hintertür wird über automatische Update-Plattformen oder -Systeme verbreitet.

Nach einer Wartezeit von bis zu zwei Wochen löst die bösartige DLL (Dynamic Link Library) die vom Command-and-Control (C2)-Server verwendete Domain avsvmcloud[.]com (Subdomains davon) auf, um mögliche Payloads vorzubereiten, per „Lateral Movement“ (Seitwärtsbewegung) weiter im Unternehmen vorzudringen und Daten zu kompromittieren oder zu exfiltrieren.

Der C2-Traffic basiert sowohl auf DNS- als auch auf HTTP-Anfragen zu den bösartigen Domänen, die so gestaltet sind, dass sie die normale SolarWinds-API-Kommunikation imitieren. Je nach dem für die SolarWinds-Installation verwendeten Benutzer können mit dessen Rechten durch den Angreifer dann Programme installiert, Daten angezeigt, geändert oder gelöscht oder neue Konten mit Administratorrechten erstellt werden.

Diese Malware verwendet auch andere Methoden, um sich zu verschleiern, zum Beispiel einen Domain Name Generation Algorithm (DGA), um die DNS-Anfragen zu tarnen, oder das Verstecken von Code durch gefälschte Variablennamen und die Verknüpfung mit legitimen Komponenten.

Microsoft hat zusammen mit FireEye und GoDaddy die Domäne des C2-Servers übernommen und offline genommen. Dadurch könnten alle Opfer identifiziert und gewarnt werden und es könnte gelingen, die Angreifer daran zu hindern, sich weiter in den infizierten Systemen auszubreiten. [3]

Wie können sich Unternehmen gegen solche Angriffe schützen?

Die beste Methode, sich gegen diese Angriffe zu schützen, ist die Installation der von SolarWinds bereitgestellten und abgesicherten Version 2020.2.1 HF 2 von Orion. [2]

Folgende Massnahmen werden ebenfalls empfohlen:

  • Virenscanner ausführen, um kompromittierte SolarWinds-Bibliotheken zu erkennen. [4]
  • SolarWinds-Server isolieren, bis eine weitere Überprüfung durchgeführt wird. Dazu gehört das Blockieren aller Internetausgänge von SolarWinds-Servern.
  • Passwörter für Konten, die Zugriff auf SolarWinds-Server/-Infrastruktur haben, ändern.

Zusätzliche Massnahmen und Vorgehensweisen der CISA (Cybersecurity and Infrastructure Security Agency) können Sie unter diesem Link finden.

Eine weitere präventive Empfehlung ist, sämtliche Software als Benutzer ohne Administratorrechte auszuführen, um die Auswirkungen eines erfolgreichen Angriffs zu vermindern. Die Software sollte stets auf dem neuesten Stand gehalten werden. [5] Zudem sollte das Netzwerk segmentiert werden, um zu verhindern, dass sich Malware zwischen verschiedenen Systemen ausbreiten kann.

Darüber hinaus wird die Verwendung eines zweiten Authentisierungsfaktors (2FA) empfohlen. Dieser verhindert, dass Zugangsdaten weiterverwendet werden können, wenn sie kompromittiert wurden.

Es ist ausserdem notwendig, ein Backup zu erstellen, damit im Falle einer Kompromittierung alle Dateien wiederhergestellt werden können, da Dateien geändert, gelöscht usw. werden können. Das Backup sollte offline gespeichert werden. [6]

Was sollte unternommen werden?

Die Orion-Software muss schnellstmöglich aktualisiert werden. Alle Passwörter für die betroffenen Benutzerkonten sollten ebenfalls geändert werden und ein zweiter Authentisierungsfaktor (2FA) sollte eingerichtet werden.

Vor der Wiederherstellung der Systeme muss sichergestellt werden, dass die Malware nicht mehr vorhanden ist. Suchen Sie dazu in den entsprechenden Protokollen nach den unter diesem Link angegebenen IOCs (Indicators of Compromise). FireEye hat zudem eine Liste der Erkennungsregeln und Signaturen auf seinem GitHub-Repository veröffentlicht. [7]

Listen aller beobachteten Hostnamen für die DGA-Domains und alle beobachteten IPV4- oder IPV6-Adressen, die gesperrt werden sollten, finden Sie auf dieser Website.

Fragen an den Spezialisten

Penetration Tester

Nachfolgend erläutert Fabian Gonzalez, Team Leader Penetration Testing und Senior Penetration Tester, zwei Fragen aus der Sicht eines Red Teams, die im Zusammenhang mit dieser Kompromittierung interessant sind:

Was kann ein Angreifer anstellen?
Der Angreifer erhält durch die Attacke kompletten Zugriff auf die SolarWinds Orion-Server. Von diesen aus sind grundsätzlich alle Server erreichbar, welche durch SolarWinds überwacht werden. Dabei können in SolarWinds konfigurierte Zugangsdaten sowie die Applikation selbst, über welche alle angeschlossenen Systeme überwacht werden können, für den Angriff weiterverwendet werden.

Der Angreifer besitzt somit die Möglichkeit, alle angeschlossenen Systeme zu kompromittieren. Weiter kann er durch „Lateral Movement“ weitere Systeme im Netzwerk angreifen. Da die kompromittierten SolarWinds-Versionen zwischen März und Mai 2020 signiert wurden, ist davon auszugehen, dass der Angreifer bereits seit mehreren Monaten Zugriff auf das Netzwerk besitzt.

Somit ist es möglich, dass ein Angreifer die gesamte Infrastruktur kompromittiert hat. Wie aus dem Bericht von FireEye ersichtlich ist, existieren Fälle, in denen die die Angreifer diese Möglichkeiten ausgenutzt haben und sich dadurch unbemerkt Zugriff auf weitere Systeme verschafft haben.

Wie unterscheidet sich dieser Vorfall von einem erfolgreichen Phishing-Angriff?
Bei einem Phishing-Angriff werden Benutzer dazu verleitet, Aktionen auszuführen, die normalerweise nicht vorgesehen sind. Im Gegensatz dazu wird bei einem Supply-Chain-Angriff der normale Update- und Wartungszyklus ausgenutzt, um Malware einzuschleusen.

Durch diesen Supply-Chain-Angriff besitzt der Angreifer ausserdem direkten Zugriff auf alle SolarWinds Orion-Server. Dabei befindet er sich direkt in einer für Server vorgesehenen Netzwerkzone. Weiter hat er dadurch indirekt Zugriff auf alle Geräte, die durch SolarWinds überwacht werden. Da für das Monitoring meistens erhöhte Rechte benötigt werden, besitzt der Angreifer auf den betroffenen Systemen direkt administrative Rechte. Dies erleichtert ihm nicht nur das Kompromittieren von weiteren Systemen, sondern auch die komplette Kompromittierung aller angeschlossenen Windows-Domänen sowie betroffener Unix-/Linux-Geräte oder sonstiger durch SolarWinds überwachter Systeme.

IT-Forensik-Spezialist und Incident Responder

Nadia Meichtry, Digital Forensics und Incident Response Specialist, beantwortet drei Fragen aus der Sicht eines Blue Teams, die im Zusammenhang mit dieser Kompromittierung interessant sind:

Wie kann man feststellen, ob das System kompromittiert wurde?
Wenn eine solche Software im Unternehmen eingesetzt wird, kann zunächst mit einem Antivirenprogramm festgestellt werden, ob die bösartige DLL (Dynamic Link Library) vorhanden ist. Dies kann auch direkt im Softwareordner (%PROGRAMFILES%\SolarWinds\Orion oder %WINDIR%\System32\config\systemprofile\AppData\Local\assembly\tmp\ [4]) überprüft werden.

Dann kann in den Protokollen der Netzwerkgeräte (Proxys, Firewalls, …) nach den verschiedenen IOCs, d.h. Domainnamen, IP-Adressen des C2-Servers usw., gesucht werden.

Es kann auch nach zusätzlichen Tools gesucht werden, die Angreifer möglicherweise abgelegt haben, um den Zugriff auf Zugangsdaten, Lateral Movement und andere Aktivitäten zu ermöglichen. Nach Aussage von FireEye ist dies praktisch bei diesem Angriff jedoch nicht vorgekommen. Alle Tools wurden wohl wieder gelöscht. [1]

Wenn verdächtige Zugriffsversuche erfolgt sind oder solche Versuche erfolgreich waren, z.B. zum „Lateral Movement“, sind diese auch in den Zugriffsprotokollen ersichtlich. Dies weist auf andere potenziell kompromittierte Systeme hin.

Wie kann sich ein Unternehmen gegen solche Angriffe schützen?
Zunächst müssen die Schwachstellen durch die Installation der neuesten Version der Software behoben werden. Hierzu hat SolarWinds bereits eine neue Version bereitgestellt, in der diese Schwachstelle behoben wurde. [3]

Regeln in der Firewall und im Proxy können implementiert werden, um verschiedene Versuche, mit einem C2-Server zu kommunizieren, zu blockieren.

Eine lückenlose Überwachung aller Aktivitäten auf den eigenen Systemen kann zusätzlich dabei helfen, verdächtige Aktivitäten, auch von „vertrauenswürdiger“ Software, zu erkennen, und bietet die Möglichkeit, die Aktivitäten des Angreifers detailliert nachzuvollziehen.

Die Software wurde kompromittiert und es kam zu einem Zugriff auf das Netzwerk. Was sind die nächsten Schritte?
Wenn die Software kompromittiert wurde, sollten alle betroffenen Systeme isoliert werden, um die Verbreitung der Malware zu verhindern. Ausserdem müssen alle Zugangsdaten zwingend geändert werden.

Darüber hinaus müssen die Aktivitäten, die der Angreifer mit den kompromittierten Zugangsdaten durchführt, verfolgt werden, um alle potenziell kompromittierten Systeme zu identifizieren. Ein Virenscan muss auf diesen Geräten durchgeführt werden. Es wird dann empfohlen, eine forensische Untersuchung dieser Systeme und Protokolle vorzunehmen, um die vom Angreifer durchgeführten Aktivitäten zu identifizieren.

Fazit

Durch die Nutzung der Hintertür in der Software verfügen Angreifer über eine sehr einfache Möglichkeit, in das System einzudringen und dann das gesamte Unternehmen zu kompromittieren. Es wird daher dringend empfohlen, das Update zu installieren und zusätzlich sämtliche potenziell gefährdeten Systeme zu überprüfen. Es ist auch wichtig, auf allen Systemen eine Antiviren-Lösung mit aktuellen Signaturen zu verwenden, um Malware zu erkennen und zu blockieren.

Generell wird empfohlen, die Software immer auf dem neuesten Stand zu halten. Das ist jedoch im Prinzip genau der Grund, warum ein solcher Angriff funktionieren kann. Verseuchte Updates wurden installiert; da sie neu sind, werden sie vom Antivirenprogramm nicht erkannt. Daher wird in diesem Fall eine Überwachung der Aktivitäten auf allen Systemen eher empfohlen.

Über den Autor

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Während ihres Studiums absolvierte sie ein Praktikum im Forensik-Team der Kantonspolizei Waadt. Ihre Masterarbeit schrieb sie während eines 4-monatigen Praktikums in einem Cybersicherheitsunternehmen in Wien. Der Fokus ihrer Masterarbeit lag auf der Analyse der Firmware von IoT-Geräten. Im ersten Teil ihrer Arbeit beschäftigte sie sich mit der Schwachstellenbewertung von mehreren Versionen derselben Firmware durch den Einsatz verschiedener Schwachstellen-Scanner. Der zweite Teil befasste sich mit der forensischen Analyse von kompromittierten IoT-Geräten. Seit August 2020 ist Nadia Meichtry als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cyber Security Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cyber Security-Spezialisten mit 40+ hochqualifizierten Cyber Security Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com