در هفته ای که گذشت، شرکت امنیتی FireEye از شناسایی یک زنجیره حمله بسیار خطرناک و گسترده که از طریق نرمافزار SolarWinds Orion در حال انتشار و گسترش است نام برد. حمله ای که از آن با عنوان بدافزار Sunburst نام می برد و بررسی های صورت گرفته حاکی از آن است که شروع فعالیت بدافزار مذکور به بهار سال 2020 میلادی برمی گردد و تا کنون توانسته نزدیک به 18000 شرکت خصوصی و عمومی را در سراسر دنیا (آمریکا شمالی، اروپا، آسیا و خاورمیانه) تحت کنترل خودش در آورد و با موفقیت در آنان نفوذ کند. با این وجود کماکان بدافزار sunburst در حال قربانی گرفتن در دنیا است و تصویر زیر برگرفته از اطلاعات آماری گردآوری شده توسط شرکت مایکروسافت است که در آن نقشه ای از وضعیت انتشار بدافزار مذکور نمایش داده شده است. هم چنین بسیاری از محققان امنیتی حمله مذکور را یکی از بی سابقه ترین و پیچیده ترین حملات صورت گرفته در دهه اخیر می دانند.تیم قرمز یکی از بهترین راه ها برای مقابله با این بد افزار ها می باشد.
در ادامه به بررسی دقیق بدافزار Sunburst خواهیم پرداخت.
دسترسی اولیه بدافزار
backdoor یا بدافزار Sunburst با اسامی دیگری هم چون Solargate و UNC2452 نیز شناخته می شود و هر یک از نرمافزارهای امنیتی موجود می توانند در صورت شناسایی زنجیره این حمله بر روی سیستم های شبکه، از این اسامی در گزارشهای خود استفاده کند. نحوه ورود بدافزار Sunburst به شبکه ها، از طریق نصب یک update به ظاهر معتبر برای نرم افزار مدیریت و مانیتورینگ شبکه SolarWinds Orion بوده است. البته محققان امنیتی بر این عقیده هستند که تنها راه ورود این بدافزار از طریق نصب یک update مخرب نبوده است و می بایست تحقیقات بیشتری برای شناسایی راه های مختلف ورود به سازمان ها صورت پذیرد.
به بیان دقیق تر، update ارائه شده برای نرم افزار SolarWinds Orion توسط مهاجمان دستکاری شده و توانسته بودند فایل مخرب dll خود را، تحت عنوان Solarwinds.orion.core.BusinessLayer.dll جایگزین فایل dll اصلی این نرم افزار کنند و آن را بر روی سایت شرکت SolarWinds به عنوان مرجع اصلی کاربران در زمان نصب update های ارائه شده برای نرمافزارهای شرکت SolarWinds قرار بدهند. در اصل، این فایل نصبی update نرم افزار SolarWinds Orion از ماه مارس و می سال 2020 میلادی، sign شده و بر روی سایت SolarWinds قرار گرفت تا کاربران برای نصب آن تردیدی نداشته باشند. نمونه ای از sign یک نرم افزاری که با backdoor آلوده شده است در تصویر زیر قابل مشاهده است.
آدرس دربرگیرنده فایل update مخرب نیز در زیر آورده شده است:
hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp
شروع و نحوه فعالیت بدافزار
نحوه شروع به فعالیت بدافزار یا باج افزار مذکور، بسیار منحصر به فرد است! پس از این که کاربران به گمان خود نرم افزار SolarWinds Orion خود را با نصب آخرین update ارائه شده توسط خود شرکت SolarWinds به روزرسانی می کردند تا در برابر انواع خطرات احتمالی (!) در امان باشند، بدافزار Sunburst برای مدت 14 روز هیچ گونه رفتار مشکوکی را از خود نشان نمی داده و اصطلاحاً در خواب به سر می برده است تا به موقع بیدار شده و فعالیت های مخرب خود را آغاز کند. این رفتار بدافزار، باعث می شود تا کاربران به موقع متوجه آلوده شدن سیستم خود نشده و نتوانند به درستی با آن مقابله کنند.
این بدافزار از مکانیزم های تشخیص و bypass زیادی برای انواع Anti-virus ها یا sandbox ها استفاده می کند. در این مدت 14 روزی که در خواب به سر می برد، تلاش می کند تا مکانیزم های دفاعی که بر روی سیستم قربانی وجود دارند را کشف کند. به عنوان نمونه ای از کارهای انجام شده توسط این backdoor، می توان به این اشاره کرد که بر اساس یک لیستی از آدرس IP ها که اغلب هم آدرس های private هستند و در محیط های sandbox معمولاً استفاده می شوند، قرار گیری خود در محیط sandbox را شناسایی می کند و در صورتی که تشخیص دهد سیستم قربانی، در واقع یک محیط sandbox هست، بعد از گذشت 14 روز هم هیچ گونه فعالیتی انجام نخواهد داد.
اما در غیر این صورت، بعد از گذشت دو هفته از زمان نصب update، ارتباطش را با C&C چک می کند، بر اساس رفتار blocklist کردنی که از سیستم قربانی در این مدت دیده است، در برابر Anti-virus و ... عکس العمل نشان می دهد و یکی از کارهایی که از همه مهم تر است و در این مدت انجام می دهد، این است که یک DNS name کاملاً تصادفی ایجاد می کند و بر اساس جوابی که سیستم به آن درخواست می دهد، نحوه ادامه فعالیت و رفتار خود را بر روی سیستم قربانی تشخیص می دهد.
در صورتی که این بدافزار بتواند C&C server خود را که بر اساس تحقیقات صورت گرفته دامنه avsvmcloud.com هست، resolve بکند، یک درخواست HTTP REST API برایش ارسال می کند و به گونه ای این فرآیند را جلوه می دهد (استفاده از پروتکل Orion Improvement Program (OIP)) که انگار یک درخواست عادی از سمت خود SolarWinds Orion در حال ارسال است. اما بررسی های انجام شده بر روی پاسخ JSON ای که از C&C server به سیستم قربانی باز می گشته، نشان داده است که پاسخ بازگشتی، دربرگیرنده دستورات مد نظر مهاجم بوده است تا بر روی سیستم قربانی اجرا شوند.
Post exploit انجام شده توسط این بدافزار
بدافزار Sunburst قادر است بر روی سیستم قربانی، مواردی که در زیر اشاره شده است را اجرا نماید:
- - انتقال فایل از (یا به) سیستم قربانی
- - اجرای فایل ها بر روی سیستم قربانی
- - شناسایی سیستم قربانی
- - restart کردن سیستم قربانی
- - غیرفعال کردن انواع سرویس های موجود بر روی سیستم قربانی
گام اول: شناسایی حساب های کاربری موجود بر روی سیستم و ارتقا سطح دسترسی خود
این backdoor در گام اول، به شناسایی انواع حساب های کاربری که بر روی سیستم قربانی هست می پردازد (Credential Harvesting) و سعی می کند تا حساب administrator سیستم را شناسایی بکند و سطح دسترسی خود را به حساب admin شناسایی شده ارتقا دهد. هم چنین اگر در این گام موفق به شناسایی حساب Administrator نشود، SAML token منحصر به فرد خود را ایجاد می کند تا صد درصد از دسترسی بالایی بر روی سیستم برخوردار باشد.
گام دوم: Lateral Movement
یکی از روش هایی که این backdoor برای غیر قابل شناسایی بودن در سطح شبکه استفاده می کند، این هست که فعالیت های مخرب خود را با حساب های کاربری مجاز در شبکه و با استفاده از سطح دسترسی هر یک از آنان پیش می برد. به بیان دقیقتر، این backdoor بر خلاف سایر backdoorها یا بدافزارهایی که تا کنون شناسایی شده اند، به ارتقا سطح دسترسی یک حساب کاربری که در شبکه به دست آورده است، نمی پردازد؛ بلکه بسیار هوشمندانه تر سعی می کند تا برای پیشبرد اهداف مخرب خود، حساب های مناسب، با سطح دسترسی های مناسب را پیدا کند و سپس فعالیت های مخرب خود را در نقش حساب های شناسایی شده انجام دهد. بدین ترتیب خیلی از ابزارهای مانیتورینگ موجود، نمی توانند رفتاری مشکوک شناسایی کنند؛ چرا که یک حساب کاربری معتبر، در محدوده ی فعالیت های مجاز خود در شبکه، فعالیتی را انجام داده است.
بنابراین اتفاقی که در این گام می افتد، بدین صورت است که مهاجم از دسترسی بالایی که در گام اول به دست آورده به شناسایی حساب های کاربری مورد نیاز اهداف خود می پردازد تا به جعل هویت آنها بپردازد.
گام سوم: تثبیت دسترسی به دست آورده
به منظور تثبیت دسترسی ایجاد شده، ابتدا یک federation جدید با certificate بدافزار به منظور برقراری trust ایجاد می شود، سپس از certificate این backdoor برای ساخت app های SSO یا ساخت یک SPN (Service Principal Name) استفاده می شود. بعد از آن که این امر با موفقیت انجام شود، SPN ساخته شده یا برنامه های SSO ساخته شده را به email سازمان قربانی link می کند تا از این به بعد طراحان این backdoor دسترسی کاملی به mail record های شبکه شما داشته باشند.
تشخیص آلوده شدن توسط Sunburst
محققان امنیتی شرکت FireEye در صفحه Github خود لیستی از rule های گوناگون در قالب های Snort، Yara، IOC و ClamAV ارائه داده است که سازمان ها می توانند با اضافه کردن این rule ها در تجهیزات امنیتی خود، از آلوده شدن یا نشدن سیستم های خود به Sunburst اطمینان حاصل نمایند.
چگونه خود را در برابر این بدافزار ایمن کنیم؟
1- شرکت SolarWinds توصیه می کند که مشتریان هرچه سریع تر، SolarWinds Orion خود را به نسخه زیر ارتقا دهند:
2020.2.1 HF 2
به منظور کسب اطلاعات بیشتر، می توانید روش های پیشنهادی شرکت SolarWinds را نیز از اینجا مشاهده و بررسی نمایید.
2- در صورت مشاهده هر گونه رفتار مشکوکی در شبکه، از ایزوله بودن سرور SolarWinds Orion خود اطمینان حاصل نمایید تا بررسی های بیشتری بر روی وجود backdoor شناسایی شده انجام شود. ارتباط سرور مشکوک را با شبکه داخلی و اینترنت قطع نمایید.
3- در صورتی که امکان ایزوله کردن سرور SolarWinds Orion وجود ندارد، سه گام زیر را پیش بگیرید:
1-3- ارتباط سرور را با سایر سیستم های endpoint، به خصوص asset های مهم شبکه محدود نمایید.
2-3- دامنه ی حساب های کاربری که بر روی سرور مذکور از دسترسی Administrator و سطح دسترسی بالایی برخوردار هستند، محدود نمایید.
3-3- دسترسی سرورها و سیستم هایی که نرم افزار SolarWinds دارند را به اینترنت، بلوکه نمایید.
4- به عنوان حداقل کاری که می شود انجام داد، رمزعبور تمامی حساب های کاربری که برای استفاده از سرورها یا زیرساخت SolarWinds مورد استفاده قرار می گیرند را در اسرع وقت تغییر دهید.
5- به منظور اطمینان حاصل نمودن از قطع ارتباط کامل backdoor مذکور با شبکه خود، در صورتی که از SolarWinds در جهت مدیریت زیرساخت شبکه بهره می برید، تمامی تنظیمات دستگاه ها و تجهیزات شبکه خود را با دقت بررسی نمایید تا هیچ گونه تغییر و یا رفتار غیرمجاز و مشکوکی نداشته باشند.
6- دسترسی به دامنه avsvmcloud.com که برای ارتباط C&C این backdoor استفاده می شود را در زیرساخت شبکه خود محدود نمایید.