“BIG GAME HUNTING” auf dem Vormarsch!
9. November 2020
ALCCU AUSTRIA
25. Dezember 2020“BIG GAME HUNTING” auf dem Vormarsch!
9. November 2020ALCCU AUSTRIA
25. Dezember 2020
Mit dem letzten Newsletter, welchen Sie hier nachlesen können, haben wir bereits kurz über den Cyberangriff bei SolarWinds informiert.
Lessons Learned
FireEye und das US-Finanzministerium gehörten zu den ersten Organisationen, die zugaben, dass ihre Netzwerke durch den Supply Chain Breach von SolarWinds von Hackern infiltriert wurden.
Inzwischen haben sich weitere Unternehmen und Behörden gemeldet und bekannt gegeben, dass auch ihre Netzwerke von der Sicherheitslücke betroffen waren.
Zu den weiteren Opfern gehören nun das US-Energieministerium und die National Nuclear Security Administration, die Federal Energy Regulatory Commission (FERC), das US-Außenministerium, Microsoft, Cisco und Intel.
Was uns bei snapSEC sehr freut ist, dass Blue Shield Umbrella die C2 Kommunikation zu der Domain avsvmcloud[.]com zu keiner Zeit aufgelöst hätte, da Blue Shield Umbrella diese bei der ersten Sichtung (Stufe 1 – Vorsortierung in BSU) sofort als C&C-Domain verworfen hat und diese somit nie aufgenommen wurde.
Hier ein kleiner, aber dennoch sehr interessanter Auszug, welche Unternehmen u.a. davon betroffen sind:
Malicious Domain beschlagnahmt und als “Kill Switch” verwendet
Die Domäne wurde so umkonfiguriert, dass sie in einigen Fällen als Kill Switch fungiert und verhindert, dass die SUNBURST-Malware, die über das kompromittierte SolarWinds-Softwareaktualisierungssystem verbreitet wurde, ausgeführt werden kann.
Dadurch wird zwar der C&C-Server abgeschaltet, was die Nutzung der bestehenden SUNBURST-Malware-Distributionen erschwert, aber die Malware ist immer noch vorhanden und muss noch eingedämmt und beseitigt werden.
Vor allem sieht sich die SUNBURST-Malware Prozesse, Services und Treiber an, um zu erkennen, welche Endpoint-Schutz-Vorkehrungen zum Einsatz kommen, Auszug aus den Hashes der Fireeye SUNBURST Gegenmaßnahmen bei GitHub:
(Gängige) Agent-basierende Schutzvorkehrungen, Sandboxes usw. können somit erkannt werden, was wiederrum den Angreifern die Möglichkeit bietet, ihre TTPs (Tools, Techniken und Praktiken) dahingehend anpassen.
Achten Sie also auch auf Indikatoren über bösartige Aktivitäten wie verdächtige Änderungen bei High-Privileged Users und anomalen Netzwerkverkehr.
Betrachten Sie Ihre Attack-Surface, indem Sie ein ein Risk Assessment durchführen, legen Sie das Augenmerk auf:
- Cached Domain Admins
- Schlüssel-Endpoints mit direkten Zugang auf Business-kritische Assets
- getrennte RDP-Sitzungen mit erhöhten Rechten
- Shadow Admins
Der Cyberangriff zeigt auf sehr eindrucksvolle Weise, wie die Akteure bestehende Security-Controls umgehen konnten, um Unternehmen zu infiltrieren. Daher ist unser Ansatz bei snapSEC, für solche Fälle einen “2nd Layer of Protection” wie bspw. die Attack Management Platform von Illusive einzuführen, die solche Angriffe in Echtzeit sichtbar machen kann.
Interessante Side-Note
(oder wie man dieser Tage dazu sagt, eine Verschwörungstheorie…)
Zwei Großinvestoren verkauften Aktien von SolarWinds im Wert von 280 Mio. Dollar wenige Tage vor Bekanntwerden der Sicherheitslücke. Der Aktienkurs brach daraufhin um mehr als 20% ein…
