Come è avvenuto l’attacco a SolarWinds senza l’utilizzo delle firme secondo Max Heinemeyer, Director of Threat Hunting di Darktrace.
L’attacco a SolarWinds è stato definito dal New York Times “uno dei più sofisticati, e forse tra i più grandi, attacchi ai sistemi federali negli ultimi cinque anni”. Si tratta di attacchi che hanno fortemente acuito le preoccupazioni delle aziende sui rischi che coinvolgono i propri ambienti digitali. Il malware utilizzato nell’attacco originario (battezzato “Sunburst”), installato durante gli aggiornamenti del software nel marzo 2020, è stato inserito nella supply chain dei prodotti SolarWinds e ha permesso agli aggressori di ottenere l’accesso non autorizzato a file sensibili, che potrebbero includere dati dei clienti e proprietà intellettuali.
Darktrace non utilizza SolarWinds direttamente e le sue operazioni non sono coinvolte in questa violazione. Il discovery tool è utilizzato da un numero significativo di nostri clienti. Per questo ritengo importante fare il punto sui rilevamenti che abbiamo eseguito e sugli indicatori comportamentali che i team di sicurezza avrebbero dovuto cogliere. Comprendendo i normali “modelli di vita” in evoluzione all’interno dell’azienda – in contrapposizione a un approccio basato sulle firme che guarda ai dati storici per prevedere la minaccia odierna.
Attacco a SolarWinds
Concentriamoci sui meccanismi di intrusione, che in molti casi seguono l’attacco automatico iniziale. Si tratta di fasi sofisticate, quasi impossibili da prevedere. Poiché guidate dalle specifiche intenzioni e dagli obiettivi che l’aggressore si pone rispetto a ogni singola vittima. Tale approccio rende praticamente inutile l’uso di firme, di strumenti di intelligence sulle minacce o l’applicazione di casi d’uso statici.
Il comportamento del malware di per sé è preconfigurato. Comprende il download di ulteriori payload e la connessione a sottodomini basati su algoritmi di generazione del dominio (DGA) di avsvmcloud[.]com. Dal momento che queste prime fasi automatizzate dell’attacco sono state ampliamente analizzate, vorrei però entrare maggiormente nei dettagli delle principali attività post-infezione che si sono verificate – e potenzialmente potranno ancor verificarsi. E di come il nostro Cyber AI analyst avrebbe potuto prevenirle.
Attacco a SolarWinds per Darktrace. I domini C2: l’attacco si mimetizza
L’hacker imposta gli hostname sulla propria infrastruttura di comando e controllo (C2) in modo tale che corrispondano a un hostname legittimo trovato nell’ambiente della vittima. Questa strategia ha permesso all’aggressore di mimetizzarsi nell’ambiente, evitando di destare qualunque tipo di sospetto. Inoltre, sono stati utilizzati i server C2 in prossimità delle proprie vittime, aggirando ulteriormente le trust list basate sulla localizzazione geografica. Questo processo avrebbe potenzialmente attivato alcuni modelli di Cyber AI di Darktrace, non specificamente progettati per rilevare le modifiche di SolarWinds. Ma utilizzati da anni e progettati per rilevare anche le più sottili ma significative attività sospette che si verificano all’interno della rete di un’organizzazione.
Un movimento laterale di successo con il cambio delle credenziali
Una volta che l’aggressore ha ottenuto l’accesso alla rete con le credenziali compromesse, si sposta lateralmente utilizzando più credenziali diverse, differenti da quelle utilizzate per l’accesso remoto.
Sostituzione temporanea di file e modifica temporanea dei task
In questo caso l’’aggressore utilizza una tecnica di sostituzione temporanea dei file per eseguire in remoto le utility, sostituendone una legittima con la propria, eseguendo il payload. E ripristinando infine il file originale. Allo stesso modo, manipola i task pianificati aggiornandone uno legittimo esistente per eseguire i propri strumenti e riportare il task pianificato alla sua configurazione originale. In questo caso, una volta ottenuto l’accesso remoto legittimo, l’aggressore ha infine rimosso i propri strumenti, comprese le backdoor, per non lasciare alcuna traccia.
Attacco a SolarWinds – Il vantaggio dell’IA
Attraverso la comprensione dell’utilizzo che viene effettuato delle credenziali e dei dispositivi, la Cyber AI elabora una conoscenza dinamica dei sistemi aziendali. Questo le consente di allertare in tempo reale i team di sicurezza sui cambiamenti all’interno dell’ecosistema digitale che potrebbero indicare la presenza di una minaccia. Aggregando i vari segnali rilevati, Cyber AI Analyst è in grado di identificare gli schemi. Può poi generare report completi e intuitivi degli incidenti e ridurre i tempi di intervento per arginare la minaccia.
Questi attacchi dimostrano ancora una volta come l’utilizzo di un approccio di autoapprendimento rappresenti la miglior strategia per fermare un aggressore che riesce ad ottenere l’accesso ai sistemi con un grado di sofisticatezza tale da raggirare il rilevamento basato sulle firme.