SUNBURST: backdoor presente en las actualizaciones de SolarWinds Orion


El pasado 8 de Diciembre FireEye notificaba haber sufrido un ataque por el cual quedan expuestas herramientas de Red Team propietarias de la compañía. Como respuesta publicaban IOCs que permiten identificar el uso de las herramientas.

Introducción

Poco después volvían a informar a la comunidad sobre un ataque en el que software de SolarWinds se veía comprometido. En concreto, el problema se encuentra en las actualizaciones de software legítimo SolarWinds Orion para las versiones 2019.4 a 2020.2.1. FireEye reportó descubrir un troyano en el software que permite la distribución del malware que han denominado SUNBURST. Microsoft por su parte ha llamado al malware Solorigate. El malware instala una backdoor que permitiría la comunicación con un servidor C2 así como ejecutar comandos.

 

SUNBURST Backdoor

La backdoor se encuentra en SolarWinds.Orion.Core.BusinessLayer.dll, un componente que de hecho está firmado por SolarWinds, tratándose de un ataque de cadena de compromiso. El malware se instalará como parte de la rutina de actualización del software legítimo.

sunburst-malware-backdoor-01

Paquete de actualización que contiene SolarWinds.Orion.Core.BusinessLayer.dll, realización de la consulta: 14 diciembre 2020

Esta backdoor permanece inactiva entre 12 y 14 días antes de intentar la conexión con el servidor C2, conectando con el dominio avsvmcloud[.]com. El malware es capaz de ejecutar un conjunto de comandos que permiten obtener información sobre la configuración del sistema, transferir y ejecutar ficheros, reiniciar la máquina y deshabilitar servicios del sistema. Estos comandos se encuentran agrupados como ‘Job’.

sunburst-malware-backdoor-02

Listado de ‘jobs’ a ejecutar

La comunicación con los servidores de C2 se hace a través de tráfico HTTP, camuflado considerando las características de los productos legítimos, en particular el protocolo OIP (Orion Improvement Program). La función encargada de las comunicaciones con el C2 es HttpHelper.Initialize.

sunburst-malware-backdoor-03

Parte de la función HttpHelper.initialize

Además, el malware es capaz de identificar antivirus conocidos y herramientas forenses como parte de su operativa.

Los investigadores señalan como parte de su informe que en algunas muestras los atacantes emplean un dropper que se rige por una operativa nueva. El dropper ha sido nombrado TEARDROP por FireEye y entre sus características destaca que se ejecuta como servicio, crea una hebra y lee del fichero “gracious_truth.jpg” que contiene una cabecera falsa. El dropper decodifica el payload usando un algoritmo rolling XOR personalizado y carga en memoria otro payload embebido empleando un formato PE customizado. Una de las hipótesis es que su propósito principal es la ejecución de una versión modificada de beacon para CobaltStrike.

 

Detección y Kill switch

Las versiones afectadas de SolarWinds Orion corresponden a las publicadas entre marzo y junio de 2020 (desde 2019.4 HF5 hasta 2020.2.1).Tanto FireEye como otras compañías han compartido reglas de detección para este malware. En el caso de FireEye pueden encontrarse en la página de GitHub. Por otra parte, Volexity relacionaba este ataque con el grupo Dark Halo y proporcionaba información relativa al conjunto de comandos ejecutados por los atacantes.

sunburst-malware-backdoor-04

Reglas yara para la detección del dropper TEARDROP (https://github.com/fireeye/sunburst_countermeasures/blob/main/all-yara.yar)

sunburst-malware-backdoor-05

Descripción de reglas de detección para una de las muestras disponibles en VirusTotal

Por otra parte, Microsoft, FireEye y GoDaddy colaboraron para crear un kill switch para la backdoor tras hacerse con el dominio empleado por el malware para contactar con el C2 (avsvmcloud[.]com). El kill switch se basa en la resolución de dominio. Bajo el control de GoDaddy, cualquier subdominio resolverá a la IP 20.140.0.1, que al encontrarse dentro del rango IPs bloqueadas por el malware (20.140.0.0/15), causará que el malware termine y no se vuelva a ejecutar. No obstante, este kill switch para la puerta trasera SOLORIGATE no evita que el malware haya podido emplear mecanismos de persistencia adicionales.

 

Conclusiones

El ataque de cadena de compromiso sobre el software de SolarWinds pone de manifiesto que resulta fundamental mantener un sistema de monitorización activo sobre los sistemas y los procesos en ejecución. Este malware espera unas dos semanas para activarse, tiempo suficiente para que las actualizaciones se instalen en el sistema y para intentar ocultar su operativa. Su camuflaje se basa en la herramienta que lo hospeda, que es confiable al sistema, por lo que el tráfico pudo pasar desapercibido por los sistemas de monitorización durante un tiempo.

La repercusión que este malware ha tenido comenzará a conocerse ahora, pero su preparación ha llevado mucho más tiempo. También conviene destacar que SolarWinds notificó que en torno a los 33000 clientes se vieron afectados, aunque sólo 18000 empleaban una versión troyanizada de su software. Esto deja entrever otro problema derivado de este tipo de ataques y es precisamente que el daño va más allá de la infraestructura afectada, propagándose a nuestra red de confianza.

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.