Reporte de Amenazas SolarWinds – Supernova

[vc_row][vc_column][vc_custom_heading text=”ANTECEDENTES | ATAQUE A SOLARWINDS” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Autora: Gabriela Peralta Díaz, Cyber Intelligence Analyst 

La CISA (Cybersecurity and Infrastructure Security Agency) identificó desde marzo de 2020 compromisos a agencias de gobierno estadounidenses, infraestructura crítica y organizaciones del sector privado dadas por un APT (advanced persistent threat). Derivado de sus actividades de bajo perfil y complejidad, las actividades de sanitización se han vuelto altamente complejas para las organizaciones.

Uno de los vectores de acceso iniciales fue el compromiso de los siguientes productos de SolarWinds Orion:

  • Orion Platform 2019.4 HF5, version 2019.4.5200.9083
  • Orion Platform 2020.2 RC1, version 2020.2.100.12219
  • Orion Platform 2020.2 RC2, version 2020.2.5200.12394
  • Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432

Sin embargo, el día de hoy, la CISA se ha anunciado (CISA, 2020) que pueden existir otros vectores de acceso iniciales (TA0001) además de la plataforma SolarWinds Orion, De acuerdo con la investigación de los incidentes recientes se ha encontrado abuso de los tokens SAML (Security Assertion Markup Language) consistentes con el comportamiento del adversario identificado previamente. Actualmente no se han identificado instancias de SolarWinds afectadas.

En un principio, investigadores mencionaron dos payloads: Sunburst y Supernova, utilizados en el compromiso de SolarWinds Orion, sin embargo, en días pasados se ha anunciado por parte de Microsoft que Supernova no está asociada a Sunburst y que forma parte de un ataque diferente.

Por parte de Sunburst se encuentran una lista de indicadores de compromiso que se pueden consultar en el Anexo A.

[/vc_column_text][vc_custom_heading text=”SUPERNOVA” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

En días pasados, investigadores realizaron análisis de equipos afectados de la campaña hacia SolarWinds Orion. En este análisis se identificó un posible segundo actor no relacionado que usó el software de SolarWinds para implantar malware en instituciones publicas y privadas.

En estas investigaciones, se presume que los atacantes usan la webshell Supernova, para descargar, compilar y ejecutar scripts de powershell maliciosos (Cosmic Gale).

Según Nick Carr, esta webshell pudo aparecer gracias al uso de exploits similares a las de la vulnerabilidad CVE-2019-8917

Al igual que Sunburst (que utiliza SolarWinds.Orion.Core.BusinessLayer.dll), Supernova se incorporó de manera anónima como una DLL para la aplicación Orion, dentro de App_Web_logoimagehandler.ashx.b6031896.dll.

Se observó que el DLL Supernova no estaba firmado con un certificado digital legítimo de SolarWinds, lo cual mostró comportamiento inusual a los atacantes que usaron Sunburst ya que en sus actividades mostraron un alto grado de sofisticación y detalle en su operación.

Los atacantes aprovecharon el archivo benigno App_Web_logoimagehandler.ashx.b6031896.dll al agregar cuatro nuevos parámetros a la API y un método malicioso que ejecuta los parámetros en el contexto del tiempo de ejecución .NET en el host Orion.

Los cuatro parámetros son: codes, clazz, method y args, los cuales pasan a través de la cadena de consulta GET al componente troyanizado. Estos parámetros luego se ejecutan en un método personalizado, que difiere del comportamiento típico de webshell.

Dado lo anterior, cualquier tráfico de entrada a logoimagehandler.ashx

con una combinación de los cuatro parámetros mencionados anteriormente en cualquier orden de la cadena de consulta son fuertes indicadores de compromiso. En el Anexo A se encuentra una regla Yara (Figueroa, 2020) para la identificación de este comportamiento.

En la siguiente Tabla, se muestra información sobre las tácticas y técnicas encontradas hasta el momento en el comportamiento de Supernova.

SUPERNOVA
Descripción: Webshell usada para distribuir y ejecutar código adicional en hosts expuestos. Esta webshell es una copia troyanizada del DLL legítimo app_web_logoimagehandler.ashx.b6031896.dll, de la aplicación SolarWinds Orion.
TTPs

 

 

 

 

 

 

T1056 Input Capture: Credential API Hooking
T1553 Subvert Trust Controls: Code Signing
T1195 Supply Chain Compromise
TA0010 Exfiltration
T1071 Application Layer Protocol
T1568.002 Dynamic Resolution: Domain Generation Algorithms
T1070 Indicator Removal On Host
T1036 Masquerading
T1027 Obfuscated Files or Information
T1057 Process Discovery
T1543.003 Create or Modify System Process: Windows Service
T1021 Remote Services
T1568.002 System Services: Service Execution
T1078 Valid Accounts

Tabla 1. TTPs asociadas a Supernova[/vc_column_text][vc_custom_heading text=”RECOMENDACIONES” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

En relación con Sunburst se recomienda seguir las acciones de mitigación y descritas por el CERT USA.

Así mismo, se recomienda utilizar las reglas proporcionadas por parte de FireEye en múltiples lenguajes (Snort, Yara, IOC, ClamAV), para la identificación de actividades de Sunburst.

En dichas reglas aún se encuentran IOCs relacionadas a Supernova, por lo que se recomienda seguir las recomendaciones de Nick Carr sobre estas reglas.
Un gran número de fabricantes ya identifican la DLL relacionada a Supernova, por lo que se recomienda verificar que las soluciones correspondientes se encuentren actualizadas, para su identificación.

Respecto a Supernova, el equipo de Ciberinteligencia de Silent4Business continúa con la recolección de información relevante por lo que se recomienda de manera inicial tomar acciones con los indicadores de compromiso mostrados en el Anexo A.

[/vc_column_text][vc_custom_heading text=”REFERENCIAS” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Cimpanu, C. (21 de 12 de 2020). ZDNet. Obtenido de https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/

CISA. (23 de 12 de 2020). Cybersecurity & Infrastructure Security Agency. Obtenido de https://us-cert.cisa.gov/ncas/alerts/aa20-352a

Figueroa, M. (23 de 12 de 2020). SentinelLabs. Obtenido de https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/

Ilascu, I. (21 de 12 de 2020). Bleeping Computer. Obtenido de https://www.bleepingcomputer.com/news/security/new-supernova-backdoor-found-in-solarwinds-cyberattack-analysis/

Riley, W. (15 de 12 de 2020). Guidepoint Security. Obtenido de https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/

Tennis, M. (17 de 12 de 2020). Unit 42 PaloAlto Networks. Obtenido de https://unit42.paloaltonetworks.com/solarstorm-supernova/

 

[/vc_column_text][vc_custom_heading text=”ANEXO A – INDICADORES DE COMPROMISO” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Indicadores de compromiso relacionados a Sunburst en plataformas SolarWinds Orion.

Dominios

deftsecurity[.]com
avsvmcloud[.]com
digitalcollege[.]org
freescanonline[.]com
globalnetworkissues[.]com
kubecloud[.]com
lcomputers[.]com
seobundlekit[.]com
solartrackingsystem[.]net
thedoccloud[.]com
virtualwebdata[.]com
webcodez[.]com

Hashes (SHA 256)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Direcciones IPv4

13.57.184[.]217
13.59.205[.]66
18.217.225[.]111
18.220.219[.]143
184.72.1[.]3
184.72.101[.]22
184.72.113[.]55
184.72.145[.]34
184.72.209[.]33
184.72.21[.]54
184.72.212[.]52
184.72.224[.]3
184.72.229[.]1
184.72.240[.]3
184.72.245[.]1
184.72.48[.]22
196.203.11[.]89
20.141.48[.]154
3.16.81[.]254
3.87.182[.]149
34.219.234[.]134
54.193.127[.]66
54.215.192[.]52
8.18.144[.]11
8.18.144[.]12
8.18.144[.]130
8.18.144[.]135
8.18.144[.]136
8.18.144[.]149
8.18.144[.]156
8.18.144[.]158
8.18.144[.]165
8.18.144[.]170
8.18.144[.]180
8.18.144[.]188
8.18.144[.]20
8.18.144[.]40
8.18.144[.]44
8.18.144[.]62
8.18.144[.]9
8.18.145[.]131
8.18.145[.]134
8.18.145[.]136
8.18.145[.]139
8.18.145[.]150
8.18.145[.]157
8.18.145[.]181
8.18.145[.]21
8.18.145[.]3
8.18.145[.]33
8.18.145[.]36

Indicadores de Compromiso en Formato STIX
https://us-cert.cisa.gov/sites/default/files/publications/AA20-352A.stix.xml

Indicadores de compromiso relacionados a Supernova
Nombre de archivo
SolarWinds Orion app_web_logoimagehandler.ashx.b6031896.dll
Hash
SHA256
C15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
SHA1
75af292f34789a1c782ea36c7127bf6106f595e8
MD5
56ceb6d0011d87b6e4d7023d7ef85676
URL
logoimagehandler[.]ashx

HTTP Query String Params
clazz
method
args
codes

YARA RULE Supernova por SentinelLabs


import “pe”
rule SentinelLabs_SUPERNOVA
{
meta:
description = “Identifies potential versions of App_Web_logoimagehandler.ashx.b6031896.dll weaponized with SUPERNOVA”
date = “2020-12-22”
author = “SentinelLabs”
strings:
$ = “clazz”
$ = “codes”
$ = “args”
$ = “ProcessRequest”
$ = “DynamicRun”
$ = “get_IsReusable”
$ = “logoimagehandler.ashx” wide
$ = “SiteNoclogoImage” wide
$ = “SitelogoImage” wide

condition:
(uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and pe.imports(“mscoree.dll”)) and all of them

}

[/vc_column_text][/vc_column][/vc_row]