Foi descoberto uma backdoor provavelmente desenvolvida pelo(s) hacker(s) envolvido(s) no ataque. Conhecida como Supernova, é uma webshell injetada no código do SolarWinds Orion que permitiria aos atacantes executar códigos arbitrários nos sistemas que utilizam a versão comprometido do produto.

Uma visão geral técnica da backdoor Supernova

Uma webshell (dependendo do contexto) é uma porta de entrada do malware incorporada em uma página web, sendo mais frequente implementada em uma linguagem interpŕetada ou de contexto (como PHP Java JSP, VBScript e JScript ASP e C # ASP.NET).

A webshell receberá comandos de um servidor remoto e será executada no contexto do ambiente de tempo de execução abaixo do servidor web. Aparentemente foi projetada para persistência secundária ou atualizada, mas sua novidade vai muito além de um malware convencional para webshell.

A Supernova utiliza um programa .NET válido como parâmetro. A classe, método, argumentos e dados do código .NET são compilados e executados na memória. Não há necessidade de retornos de chamadas de rede adicionais além da solicitação inicial do C2 (servidor de comando e controle, que é controlado pelos atacantes).

Os caras construíram uma API .NET silenciosa e totalmente desenvolvida incorporada em um binário Orion, cujo usuário é totalmente privilegiado e com um alto grau de visibilidade dentro da rede de uma organização.

Os invasores podem então configurar arbitrariamente o SolarWinds (e qualquer recurso do sistema operacional Windows exposto pelo .NET SDK) com código C# (C Sharp) malicioso. O código é compilado durante a execução benigna do SolarWinds e executado dinamicamente.

A fase do implante

Aproveitando a confiança inerente dos administradores de sistema e do patching de ferramentas de rotina, a webshell foi implantada sem gerar nenhum alerta convencional. O implante em si é uma cópia “trojanizada” do arquivo dll app_web_logoimagehandler.ashx.b6031896.dll, que é uma biblioteca SolarWinds .NET proprietária que expõe uma API HTTP. O endpoint serve para responder as consultas de uma imagem .gif específica de outros componentes da pilha do software Onion.

Parâmetro do C2Objetivo
clazzNome do objetivo de classe C# para instanciar
methodMétodo de classe clazz para invocar
argsOs argumentos são divididos por linhas e passados como parâmetros posicionais para o método
codesAssemblies .NET e namespaces para compilação
SolarWinds: Backdoor SUPERNOVA é encontrada na análise do ataque / Instruções recebidas do servidor de comando e controle (C2)

Os quatro parâmetros C2 são processados e então passados para o método malicioso DynamicRun() que compila os parâmetros em um assembly .NET na memória. Com esse truque, nenhum arquivo é salvo no disco, permitindo que eles evitem a detecção.

SolarWinds: Backdoor SUPERNOVA é encontrada na análise do ataque
SolarWinds: Backdoor SUPERNOVA é encontrada na análise do ataque / Parte do código que mostra os quatro parâmetros / Fonte da imagem: https://securityaffairs.co/wordpress/112512/malware/supernova-backdoor-solarwinds-hack.html

A execução

O invasor pode enviar pela Internet uma solicitação à webshell incorporada ou por meio de sistema comprometido internamente.

O código é criado para aceitar os parâmetros como componentes de um programa .NET válido, que é então compilado na memória. Nenhum executável é descarregado, e portanto, a execução da webshell evita a maioria das detecções de ferramentas de defesas de endpoint, como mencionado anteriormente.

Tática, técnicas e procedimentos

O malware é secretamente embutido em um servidor, e em seguida, recebe comandos do C2 remotamente e os executa no contexto do usuário do servidor.

Ainda assim, a Supernova é poderosa devido à sua execução em memória, sofisticação em seus parâmetros e execução e flexibilidade ao implementar uma API totalmente programática para o runtime .NET.

Além de evitar detecções, os hackers do ataque SolarStorm (como ficou conhecido) eram habilidosos o suficiente para ocultar propositalmente o seu tráfego e comportamento à vista de todos, além de evitar deixar vestígios de evidências.

Resposta da SolarWinds

A SolarWinds informou que forneceu duas “atualizações de hotfix” que contém melhorias de segurança, incluindo aquelas projetadas para impedir que certas versões de seus produtos da Plataforma Orion sejam exploradas pelo malware da webshell Supernova.

Fonte:

https://www.marketwatch.com/story/solarwinds-releases-updates-to-in-response-supernova-hack-2020-12-24

What's your reaction?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like