Neue Raindrop-Malware im Zusammenhang mit SolarWinds-Verstoß

Die eingehende Untersuchung des SolarWinds-Einbruchs enthüllte das vierte Stück bösartiger Software, das mit diesem historischen Vorfall verbunden ist. Laut den Infosec-Experten ist die neue Bedrohung, genannt Raindrop, ein Cobalt Strike-Downloader. Es wurde in der Phase nach dem Kompromiss des Angriffs eingesetzt, um die laterale Bewegung über eine ausgewählte Anzahl von Zielnetzwerken zu verbessern.

Raindrop erhöht die Zahl der maßgeschneiderten SolarWinds-Malware auf vier, wobei Sunburst, Sunspot und Teardrop bereits im Rampenlicht stehen. Die Forschung zeigt, dass Raindrop viel mit Teardrop gemeinsam hat und in der Tat dessen bösartiger Verwandter ist. Nichtsdestotrotz unterscheiden sich die Liefermethoden und die Zusammensetzung der Nutzlast, was Raindrop als eine eigene Instanz kennzeichnet.

Raindrop-Angriff

Um die Funktion von Raindrop im bahnbrechenden SolarWinds-Vorfall zu erklären, sollten wir den Angriffstimeline überprüfen. Der Einbruch begann im Frühjahr 2019, nachdem die Angreifer — mutmaßlich Russland-zugeordnet — das interne Netzwerk von SolarWinds mit der Malware Sunspot infiziert hatten. Insbesondere wurde Sunspot verwendet, um den Entwicklungsprozess von SolarWinds Orion zu stören und Sunburst-Code in die neuesten Softwareversionen einzuschleusen. Diese bösartigen Orion-Versionen wurden im März-Juni 2020 mit regulären Updates des Anbieters ausgeliefert. Infolgedessen wurden über 18.000 Kunden mit dem Sunburst-Backdoor infiziert, sodass Hacker in Netzwerke von namhaften Anbietern wie FireEye, Microsoft und US-Regierungsinstitutionen eindringen konnten. Bemerkenswerterweise eskalierten die Hacker ihren Netzwerkzugang nur in einzelnen Fällen und nutzten dazu Teardrop und Raindrop.

Während Teardrop direkt durch Sunburst-Backdooreingespielt wurde, bleibt die Infektionsmethode für Raindrop unbekannt. Dennoch tauchte Raindrop nur in den Netzwerken auf, in denen mindestens ein Gerät mit Sunburst kompromittiert wurde. Sicherheitsexperten vermuten, dass die Raindrop-Infektion möglicherweise auf die Sunburst-Aktivität zurückzuführen ist, um nicht spezifizierte PowerShell-Nutzlasten auszuführen. Eine solche Verbindung ist jedoch unbestätigt.

Nach der Installation setzten Raindrop-Operatoren eine angepasste Version des 7-Zip-Quellcodes ein, um die Malware als DLL-Datei zu kompilieren. 7-Zip wurde jedoch nur als Deckmantel verwendet, während die Raindrop-Nutzlast über ein benutzerdefiniertes Packer installiert wurde. Dieses Packer ist so konzipiert, dass es die Ausführung für Tarnungszwecke verzögert und Steganographie für die Nutzlastauszugs verwendet.

Raindrop-Analyse: TearDrop’s Zwilling

Ähnlich wie Teardrop nutzten SolarWinds-Hacker Raindrop, um ihre lateralen Bewegungsmöglichkeiten in der Phase nach dem Kompromiss zu verbessern. Im Fall von Raindrop waren die Bedrohungsakteure jedoch selektiver. Forscher identifizierten nur vier Anbieter, die mit diesem Stammziel ins Visier genommen wurden. In allen Fällen schob Raindrop die Cobalt Strike-Nutzlast. In drei Fällen setzte Cobalt Strike Beacon auf HTTPS, um mit seinem Command-and-Control (C2)-Server zu kommunizieren. Im letzten Fall war die Kommunikation über SMB Named Pipe eingerichtet, vermutlich weil die Internetverbindung auf dem kompromittierten PC fehlte.

Bemerkenswerterweise haben Teardrop und Raindrop, obwohl fast identisch, leichte Unterschiede in der Konfiguration. Insbesondere umfassen die Unterschiede das Nutzlastformat, das Einbetten, die Verschlüsselung, die Kompressionsmechanismen sowie die Verschleierung und Exportnamen.

Erkennung von Raindrop

Da die Malware lange Zeit unentdeckt blieb und effektive Tarnungstechniken anwendete, empfehlen Forscher allen Organisationen, die möglicherweise im SolarWinds-Hack betroffen sind, zusätzliche Scans auf Raindrop-Infektionen durchzuführen. Das SOC Prime-Team entwickelte eine dedizierte Sigma-Regel, um die proaktive Erkennung von Raindrop zu verbessern:

Raindrop-Malware-Muster [bezogen auf den SolarWinds-Angriff] (über sysmon)

Am 22. Januar 2021 veröffentlichte unser Threat Bounty-Entwickler Emir Erdogan eine zweite Regel, um zur Erkennung von Raindrop beizutragen. Überprüfen Sie die neuen Inhalte, um sicher zu bleiben!

Raindrop-Malware (über rundll32)

Die Regeln wurden auf die folgenden Plattformen übersetzt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Carbon Black

MITRE ATT&CK:

Taktiken: Lateral Movement

Techniken: Remote Services (T1021)

Überprüfen Sie weitere Regeln im Zusammenhang mit dem SolarWinds-Kompromiss in unseren Blog-Artikeln, die dem FireEye-Einbruch,  SUNBURST Übersicht und der SUPERNOVA Analyse gewidmet sind.

Erhalten Sie ein Abonnement für den Threat Detection Marketplace, um die mittlere Zeit zur Erkennung von Cyberangriffen mit unserer über 90.000 Inhalten umfassenden SOC-Bibliothek zu verkürzen. Die Inhaltsbasis bereichert sich jeden Tag, um die alarmierendsten Cyber-Bedrohungen in den frühesten Phasen des Angriffslebenszyklus zu erkennen. Möchten Sie eigene kuratierte Inhalte erstellen? Treten Sie unserer Threat Bounty Community bei für eine sichere Zukunft!