SUNBURST-Malware: Analyse-Tool SolarFlare, ein 'Kill-Switch' und der Einstein-Überwachungsflopp

[English]Kleine Ergänzungen in Sache Hack von Firmen und US-Behörden durch die per Update für die Orion-Software ausgelieferte SUNBURST-Malware. Es gibt ein Analyse-Tool SolarFlare, zur Feststellung, welche Berechtigungen die Orion-Software hatte. Die Domain der Hacker mit dem C&C-Server wurde übernommen – Microsoft und FireEye haben 'einen Killswitch' etabliert. Und die mit Milliarden-Kosten entwickelte Software Einstein hat von diesem Hack nichts mitbekommen.


Anzeige

So nach dem Motto: Der Morgen ist gerettet, fasse ich einige Punkt bezüglich des Hacks diverser Firmen und US-Behörden durch die SUNBURST-Malware in diesem Beitrag zusammen. Es geht nach wie vor um die SUNBURST-Malware, die Hacker in die Updates der SolarWinds Orion-Produktlinie einschleusen konnten. Inzwischen ist klar, dass die Angreifer Zugriff auf die Quellcode-Basis des US-Sicherheitsanbieters SolarWinds gehabt haben mussten (siehe SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust). Über Monate haben sie das Einschleusen des Trojaners, der als Backdoor fungierte, vorbereitet und in den Quellcode eingeschleust. Details lest ihr in den am Artikelende verlinkten Blog-Beiträgen.

C&C-Domain-Übernahme wurde vollzogen

Im Blog-Beitrag Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt hatte ich ja angedeutet, dass Microsoft und Industriepartner (GoDaddy als Registrar und FireEye als Analysefirma) an der Übernahme der Domain arbeiten, die den Command & Control-Server beinhaltet. In diesem Kommentar (danke dafür) wird auf den aktuellen Artikel von Brian Krebs verwiesen. Krebs bestätigt jetzt die Domain-Übernahme und zitiert eine Antwort von FireEyes:

SUNBURST is the malware that was distributed through SolarWinds software," FireEye said in a statement shared with KrebsOnSecurity. "As part of FireEye's analysis of SUNBURST, we identified a killswitch that would prevent SUNBURST from continuing to operate.

Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections.

This killswitch will affect new and previous SUNBURST infections by disabling SUNBURST deployments that are still beaconing to avsvmcloud[.]com. However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.

This killswitch will not remove the actor from victim networks where they have established other backdoors. However, it will make it more difficult to for the actor to leverage the previously distributed versions of SUNBURST.

Die Amis drücken es drastisch aus und sprechen von einem Kill-Switch für die Malware. Im Grunde wurde nach der Übernahme der Domain die Möglichkeit des C&C-Servers entfernt, neue Module nachzuladen und Dokumente über die Backdoor von den infizierten Netzwerken abzurufen – bzw. Abgerufenes ist unter der Kontrolle des Konsortiums, welches die Domain jetzt übernommen hat.

Wichtig erscheint mir der Hinweis auf den letzten Satz in obigem Statement: Dieser Killswitch sperrt die  Angreifer nicht aus dem Netzwerk der gehackten Opfer aus. Denn diese haben längst weitere Maßnahmen ergriffen, um weiter auf die infizierten Systeme zuzugreifen. Die beste Hoffnung, ist, über die Kommunikationsversuche und die dabei benutzte IP die Opfersysteme identifizieren und benachrichtigen zu können. Es bleibt also noch viel Arbeit für Forensiker und Administratoren.

Analyse-Tool SolarFlare

Wer die Orion-Software mit den kompromittierten Updates auf seinen Systemen eingesetzt hat, kommt um eine forensische Analyse der Systeme und des Netzwerks nicht herum. Da wäre es schon gut, zumindest eine Übersicht zu haben, auf welche Systeme die Orion-Überwachungssoftware denn überhaupt Zugriff hatte. In nachfolgendem Tweet weist Catalin Cimpanu auf das neue Tool SolarFlare hin, mit dem sich alle Anmeldedaten aus der Orion-Software auslesen lassen. Dies ermöglicht zu überprüfen, was von Hackern kompromittiert worden sein könnte.

Analyse-Tool SolarFlare

Administratoren hätten dann die Möglichkeit, die Passwörter für alle betroffenen Konten zu ändern. Die Software ist hier beschrieben und kann auf GitHub bezogen werden.

EINSTEIN-Überwachsungssystem hat versagt

EINSTEIN ist ein Intrusion Detection-System der CISA (Cybersecurity and Infrastructure Security Agency), welches Netzwerke von US-Bundesbehörden überwacht. Dieses Einbruchserkennungssystem wurde mit Milliarden US-Dollar entwickelt. Im Hinterkopf meine ich, hier im Blog mal einen Beitrag über EINSTEIN gemacht zu haben, finde diesen aber nicht mehr. Ein wenig lässt sich über diese CISA-Seite herausfinden.

Einmal hat EINSTEIN einen Einbruchsversuch gemeldet – ich hatte im Blog-Beitrag CISA-Analyse bestätigt: US-Bundesbehörde Opfer eines Cyber-Angriffs darüber berichtet. Aber die Washington Post berichtet im Artikel The U.S. government spent billions on a system for detecting hacks. The Russians outsmarted it süffisant, dass die US-Regierung Milliarden für ein System zur Erkennung von Hacks ausgab. Und dann haben die Russen dieses tolle System einfach überlistet (wer in diesem Satz Schadenfreude findet, darf diese behalten).

Der Hack ist erst aufgeflogen, als die mutmaßlich russischen Hacker nicht widerstehen konnten, sich an den Kronjuwelen der Sicherheitsfirma FireEye zu bedienen. Die haben nämlich deren Red Team Tools beim Hack kopiert und abgezogen. In der darauf folgenden Analyse kam FireEye der Spionage-Kampagne auf die Spur (ich hatte hier im Blog in den nachfolgend verlinkten Artikeln Details berichtet).


Anzeige

Der Artikel zitiert CISA-Sprecherin Sara Sendek, dass die 'Verstöße' bis in den März zurückreichen und von keinem Intrusion Detection- oder Prevention-System erfasst wurden. Sobald die CISA Hinweise auf die Aktivitäten erhielt, lud sie diese in Einstein, um bei der Identifizierung von Verstößen in Behördennetzwerken zu helfen.

Die Washington Post schreibt: Einstein, das von der Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security betrieben wird, war nicht dafür ausgestattet, neuartige Malware oder Internetverbindungen zu finden. Erinnert mich an die alte Techniker-Weisheit 'wer misst, misst Mist'.

Ein Bericht des Government Accountability Office aus dem Jahr 2018 empfahl den Verantwortlichen wohl, dass die Entwicklung einer solchen Fähigkeit eine sinnvolle Investition sein könnte. Die Einbruchüberwachungssysteme von Sicherheitsfirmen nutzen auch diese Funktionen, um Malware und Einbruchsversuche zu verkennen. Auch Kommunikationsversuche mit  unbekannten IP-Adressen können einen Alarm auslösen – EINSTEIN war auf diesem Auge blind.

Böse Zungen meinen 'hätten die mal einen Kaspersky installiert', was natürlich alles Quatsch ist. Erstens kommt Kaspersky ja von den Russen, und zweitens hauste die letzten vier Jahre ja ein außerordentlich stabiles Genie im weißen Haus, welches einiges durcheinander gewirbelt hat.

Die Washington Post zitiert Thomas Bossert, einen Top-Beamter für Cybersicherheit sowohl in der George W. Bush- als auch in der Trump-Administration, mit der Aussage: "Man kann mit Fug und Recht behaupten, dass Einstein nicht richtig konzipiert wurde. Aber das ist ein Versagen des Managements."

Im Artikel wird Thomas Bossert, der an dem ursprünglichen Einstein-Konzept in der George W. Bush-Administration gearbeitet hat, so zitiert: Die [ursprüngliche] Idee sei gewesen, aktive Sensoren am Internet-Gateway einer Behörde zu platzieren, die bösartigen Command-and-Control-Verkehr erkennen und neutralisieren könnten. "Aber die Bush-, Obama- und Trump-Administrationen haben Einstein nie so konzipiert, dass es sein volles Potenzial entfalten konnte."

Auch solche Systeme können ausgetrickst werden, auch wenn sie (richtig eingesetzt) durchaus ihre Berechtigung haben und helfen können. Ich habe den Fall herausgezogen, weil mir immer die Sirenengesänge der Vertriebler 'wir müssen nur unsere neuesten Sicherheitsprodukte einsetzen, dass wird alles gut' in den Ohren summen. Auch dort werde ich den Verdacht nicht los, dass da nach der Methode 'Hallo, ich haben einen Hammer erfunden, zeige mir jetzt das Problem, welches ich damit lösen soll' agiert wird.

Ganz interessant fand ich noch den Satz 'Aber der monatelange Hack von Bundesnetzwerken, der in den letzten Tagen aufgedeckt wurde, hat neue Schwachstellen aufgedeckt und einige bereits bekannte unterstrichen, darunter die Abhängigkeit der Bundesregierung von weit verbreiteter kommerzieller Software, die potenzielle Angriffsvektoren für Hacker […] bietet.' Diese Warnung gibt es ja auch in Deutschland … gelegentlich sogar hier im Blog – will nur niemand hören, weil man ja auf 'einen Standard' setzt.

PS: Ich habe den falschen Weg im Job eingeschlagen. Das Angebot ist mir gerade unter die Augen gekommen – treibt einem armen Blogger Tränen zwischen die Füße.

SolarWinds Lizenzerneuerung

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu SUNBURST-Malware: Analyse-Tool SolarFlare, ein 'Kill-Switch' und der Einstein-Überwachungsflopp

  1. Frank Z(ett) ツ sagt:

    "Wer überwacht die Überwacher" könnte man auch hinzufügen .. seien wir mal ehrlich, nichts ist unhackbar und das von links nach rechts und umgekehrt versucht wird zu hacken, weil heutzutage Daten Macht sind, ist doch auch nicht verwunderlich, oder?

    Info:
    Typo "weist Catalin Cimpanu auf das neue Tool FolarFlare hin"
    Muß SolarFlare heissen .. danke :-)

  2. Bernard sagt:

    Wir hätten VIEL weniger Probleme, wenn die Staaten nicht immer irgendwelche Hintertürchen in Programmen fordern würden.

    Denn es weiss niemand, ob das wirkliche "russische Hacker"(TM) oder nicht vielleicht doch einer der 700 Geheimdienste der USA oder gar die Chinesen waren.

    Siehe auch die Heise-Meldung:

    "Bundesregierung: BSI soll mit IT-Sicherheitsgesetz 2.0 hacken dürfen"

    Geht es noch???

  3. 1ST1 sagt:

    Was ist denn kein "Standard"? Linux?

  4. eeeee sagt:

    Detection als Security-Maßnahme — egal ob Intrusion Detection, Malware Detection oder was sonst noch — war schon immer Schlangenöl und Cargo Cult.

  5. No sagt:

    Mit etwas Vorsicht zu beurteilen:

    Diese Quelle behauptet die kompromittierten Firmen identifizieren zu können:

    https://blog.prevasio.com/2020/12/sunburst-backdoor-deeper-look-into.html
    https://blog.prevasio.com/2020/12/sunburst-backdoor-part-ii-dga-list-of.html

    Es gibt recht gute Erklärungen für die De-Obfuscation

Schreibe einen Kommentar zu eeeee Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.