Backdoor SUPERNOVA: Um Segundo Grupo APT Abusou de Falha no SolarWinds para Implantar Malware de Web Shell
Índice:
Novos detalhes relacionados ao ataque histórico à cadeia de suprimentos da SolarWinds vieram à tona. Pesquisa da Microsoft indica que outro ator APT independente pode ter sido responsável pela violação do SolarWinds Orion. Em particular, os cibercriminosos utilizaram uma falha de zero-day recém-descoberta para infectar instâncias alvo com o backdoor SUPERNOVA.
Nova Vulnerabilidade Zero-Day no Software SolarWinds Orion (CVE-2020-10148)
A vulnerabilidade foi divulgada em 25 de dezembro de 2020 em um Centro de Coordenação CERT dedicado aviso. Os pesquisadores revelam que é uma questão de autenticação de bypass (CVE-2020-10148) que foi utilizada para executar comandos de API remotamente e implantar o backdoor SUPERNOVA. A vulnerabilidade permite o desvio de autenticação de API adicionando parâmetros especiais à parte Request.PathInfo de uma solicitação de URL para o servidor SolarWinds. Desta forma, os hackers não autorizados podem definir a flag SkipAuthorization e iniciar o processamento da solicitação de API.
Visão Técnica Geral do Backdoor SUPERNOVA
Analistas da Unit 42 fornecem evidências de que o backdoor SUPERNOVA é um malware de shell web .NET altamente sofisticado e furtivo, capaz de implantar programas .NET complexos voltados para reconhecimento e movimentação lateral. O malware foi inserido nos sistemas SolarWinds Orion através da modificação da biblioteca .NET legítima “app_web_logoimagehandler.ashx.b6031896.dll.” De fato, quatro parâmetros adicionais (codes, clazz, method, args) foram adicionados à DLL autêntica. Estas pequenas adições permitiram aos adversários enviar comandos arbitrários do servidor e executá-los na memória com altos privilégios de um usuário do servidor.
O SUPERNOVA depende do método DynamicRun para compilar os quatro parâmetros mencionados em uma montagem .NET instantaneamente e executá-los no host Orion. Essa abordagem permitiu que hackers evitassem a detecção, pois nenhum artefato malicioso é registrado em disco.
Notavelmente, os analistas acreditam que o shell web do SUPERNOVA foi implantado por um grupo APT diferente, que não está relacionado aos hackers do SUNBURST. Tal suposição é apoiada pelo fato de que a DLL .NET trojanizada não possui uma assinatura digital, enquanto as DLLs relacionadas ao SUNBURST possuem.
Ações de Detecção e Mitigação de Ataques
O novo bug zero-day do SolarWinds foi tratado em 23 de dezembro de 2020, portanto, os usuários são instados a atualizar seu software para as versões seguras. Caso a atualização seja impossível, verifique o aviso de segurança do Solarwinds para saber mais sobre as etapas de mitigação relevantes.
Além disso, você pode aplicar uma regra Sigma para detecção proativa de backdoor SUPERNOVA, que foi desenvolvida pela equipe da SOC Prime e está disponível em nosso mercado Threat Detection desde 14 de dezembro de 2020:
https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio
EDR: Carbon Black
NTA: Corelight
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Comprometimento da Cadeia de Suprimentos (T1195)
Caso você não tenha acesso pago ao Threat Detection Marketplace, você pode ativar seu teste gratuito através de uma assinatura comunitária para desbloquear a regra Sigma relacionada ao shell web SUPERNOVA. Mais regras associadas ao comprometimento do software SolarWinds Orion você pode encontrar em nossos posts de blog dedicados à violação do FireEye and backdoor SUNBURST análise.
Inscreva-se no Threat Detection Marketplace gratuitamente para conferir mais conteúdo SOC curado para uma detecção de ataques eficiente. Sente-se pronto para criar suas próprias regras Sigma e contribuir para iniciativas de detecção de ameaças cibernéticas? Junte-se ao nosso Programa de Recompensas por Ameaças!
