Erkennung des hochgradig ausweichenden Sunburst-Angriffs mithilfe eines (alten) ML-Modells

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) bestätigte Mitte Dezember einen breit angelegten Cyberangriff auf mehrere Regierungsbehörden, Anbieter kritischer Infrastrukturen und Unternehmen des Privatsektors. Die Angreifer drangen in die IT-Netzwerke ihrer Opfer ein, indem sie den Software-Anbieter SolarWinds kompromittierten, wodurch sie einen Remote Access Trojaner (RAT) über den Software-Update-Mechanismus von SolarWinds installieren konnten.

Die Cyber-Angriffskampagne - "Sunburst" - läuft seit mindestens März 2020 mit einem starken Höhepunkt im April 2020, wie eine rückwirkende Analyse des globalen DNS-Anbieters Cloudflare zeigte [7]. Im Dezember 2020 entdeckte das Cybersecurity- und Threat-Research-Unternehmen FireEye den Supply-Chain-Angriff in seinem eigenen Netzwerk [2]. Nachdem FireEye einen detaillierten Bericht über den Angriff veröffentlicht hatte [3], begannen Cybersecurity-Anbieter, Indicators Of Compromise (IOCs) und Signaturen für den Angriff zu erstellen und zu verbreiten. Bei der Replikation des Angriffs in unserem Labor unter Verwendung der von unseren Kollegen veröffentlichten Informationen konnten wir zeigen, dass unsere ExeonTrace NDR-Software die bösartigen Domänen, auf die das RAT ursprünglich zugriff, sofort erkennen kann, ohne dass ein Signatur-Update erforderlich ist (siehe unten für die erforderliche Konfiguration). Tatsächlich kann die Software dies mit Hilfe eines maschinellen Lernmodells tun, das vor mehr als zwei Jahren trainiert wurde - lange bevor wir von dem Angriff erfuhren.

Wie ist dies möglich? Das RAT verwendet einen Domain Generation Algorithm (DGA), um Subdomains von avsvmcloud[.]com zu erstellen, auf die es zugreift, um seinen C&C-Server zu finden und Anweisungen zu laden. 0fhdojdvgeuskgkcds2n0i3uho1i2v0i[.]appsync-api[.]us-west-2[.]avsvmcloud[.]com ist ein Beispiel für einen vom Algorithmus konstruierten Hostnamen, wobei die Zeichenkette "0fhdojdvgeuskgkcds2n0i3uho1i2v0i" Informationen über das kompromittierte Netzwerk verschlüsselt (siehe [3] für weitere Details). Ein traditioneller signaturbasierter Ansatz kann den Angriff nur erkennen, wenn es eine IOC für den zugegriffenen Hostnamen gibt (z. B. könnte die IOC "*.avsvmcloud[.]com" sein). Natürlich kann eine solche IOC erst erstellt werden, nachdem der Angriff erkannt wurde, was zu einem Henne-Ei-Problem führt.

ExeonTrace verlässt sich nicht auf Signaturen, um DGA-Aktivitäten zu erkennen. Stattdessen verfügt ExeonTrace über ein ML-Modell, das darauf trainiert wurde, die typischen Muster in Hostnamen zu erkennen, die mit DGA generiert wurden. Da unsere Ingenieure das Modell so aufgebaut haben, dass es sich sehr gut verallgemeinern lässt, kann ExeonTrace auch DGA-Algorithmen erkennen, auf die es nicht trainiert wurde. Das heisst, wir können neuartige Cyber-Angriffe erkennen, für die es noch keine IOC gibt, und so das Henne-Ei-Problem von signaturbasierten Ansätzen vermeiden.

Weitere Informationen zu DGA finden Sie im Blog-Beitrag unseres CTOs “Wie Hacker kommunizieren – DGA”

csm_sunburst_blog.png Wie ExeonTrace Sunburst’s DGA entdeckt.

Für unsere bestehenden Kunden: Empfohlene ExeonTrace-Konfiguration

  • Stellen Sie sicher, dass DNS-Daten an ExeonTrace weitergeleitet werden und überprüfen Sie in der Konfiguration, dass "dgaDnsConfig.enabled" auf "true" und "dgaDnsConfig.onlySld" auf "false" gesetzt ist.
  • Um gezielt nach den sunburst IOCs zu suchen, laden Sie solarwinds-sunburst.json als benutzerdefinierten Threat-Feed. Diese vorgefertigte Blacklist enthält IPv4, IPv6 und FQDN aus verschiedenen Quellen.
  • Überprüfen Sie die Visualisierungen von ExeonTrace auf unerwartetes Cross-Talking und ausgehende Datenflüsse.

Der Exeon-Support unterstützt Sie gerne bei der Verifizierung der Konfiguration.

Sie sind noch kein Kunde? Erhalten Sie sofortigen Einblick

  • Gerade in Zeiten wie diesen ist es wichtig zu verstehen, wer mit wem im eigenen IT-Netzwerk kommuniziert - einfach weil man einen Einbruch nicht verhindern kann, wenn man ihn nicht sehen kann.
  • ExeonTrace verschafft Ihnen vollen Einblick in Ihre IT-Landschaft, indem es die Daten analysiert, die von Ihren bestehenden Firewalls, Switches, sicheren Web-Gateways und allgemeinen Anwendungen exportiert werden.
  • Die Einrichtung unserer reinen Softwarelösung dauert in der Regel nur einen Tag.

Zeitleiste des Sunburst Advanced Persistent Threat (APT)-Angriffs

März 2020 oder früher:

Angreifer beginnen mit der Kompromittierung von US-Regierungsbehörden, kritischen Infrastruktureinrichtungen und Organisationen des privaten Sektors [1].

8. Dezember 2020:

Das Cybersicherheitsunternehmen Fireeye gibt die Entdeckung eines hochentwickelten Angriffs im eigenen Netzwerk bekannt [2].

13. Dezember 2020:

Die Analyse des Vorfalls durch Fireeye zeigt, dass die Angreifer ihr Netzwerk über den Softwareanbieter SolarWinds kompromittiert haben [3]. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) gibt eine Notfallanweisung [4] heraus, alle SolarWinds Orion-Produkte sofort von den IT-Netzwerken zu trennen und die Netzwerke auf Anzeichen eines Eindringens zu untersuchen.

13. Dezember 2020 und später:

Fireeye sowie unabhängige Unternehmen beginnen mit der Veröffentlichung von Indicators of Compromise (IOCs) zur Erkennung des Sunburst-Angriffs.

Referenzen

[1] https://us-cert.cisa.gov/ncas/alerts/aa20-352a

[2] https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

[3] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[4] https://cyber.dhs.gov/ed/21-01/

[5] https://github.com/fireeye/sunburst_countermeasures

[6] https://github.com/bambenek/research/tree/main/sunburst

[7] https://blog.cloudflare.com/solarwinds-orion-compromise-trend-data/