Présentation de Solorigate - Tim Burrell Responsable partenaires en ingénierie Microsoft Threat Intelligence Center
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Présentation de Solorigate Tim Burrell Responsable partenaires en ingénierie Microsoft Threat Intelligence Center 18 février 2021
01 Présentation de Solorigate
02 Apparition de Solorigate
03 Moyens utilisés par l'intrus
pour accéder aux comptes
04 Sept étapes à suivre pour
protéger votre organisation
05 Il est temps d'investir dans la
modernisation de votre SOC
Attaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des
dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer
DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
Attaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des
dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer
DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.Attaque Solorigate
Chronologie
Mars : début estimé de la
distribution de la porte
dérobée Solarigate
Distribution de SUNBURST et profilage des cibles
4 septembre : début de l'accès à Mai : début estimé des attaques 12 décembre : divulgation de
SolarWinds par les attaquants* de type « hands-on-keyboard » l'attaque par la chaîne
(menées manuellement) d'approvisionnement Solorigate
12 septembre : début de Activation de TEARDROP
l'injection du code de test Poursuite de l'activité de type « hands-on-keyboard »
par les attaquants*
4 novembre : arrêt de 20 février : compilation et 4 juin : suppression par les attaquants
l'injection du code de test déploiement de la porte des logiciels malveillants qu'ils avaient
par les attaquants* dérobée Solorigate* introduits dans les environnements de
build SolarWinds*
2019 2020 2021
Sep Oct Nov Déc Jan Fév Mar Avr Mai Juin Juil Août Sep Oct Nov Déc Jan
* Divulgué par SolarWinds
Microsoft
Les informations étaient correctes en date du 1er janvier 2021. Veuillez consulter le site aka.ms/solorigate pour accéder aux mises à jour les plus récentes.ATTAQUE PAR LA CHAÎNE D'APPROVISIONNEMENT
Les attaquants introduisent du code malveillant dans un
composant DLL d'un logiciel légitime. Le fichier DLL Attaquant
compromis est distribué aux organisations qui utilisent le SolarWinds.Orion.Core.
logiciel correspondant. BusinessLayer.dll
EXÉCUTION, PERSISTANCE
Au démarrage du logiciel, le fichier DLL compromis se
charge et le code malveillant inséré appelle la fonction qui
contient les fonctionnalités de la porte dérobée. solarwinds.business SolarWinds.Orion.Core. La porte
layerhost.exe BusinessLayer.dll dérobée
s'activeAttaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des
dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer
DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.Attaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des
dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer
DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.Attaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
ATTAQUE DE TYPE « HANDS-ON KEYBOARD » DANS LE CLOUD
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte
dérobée) malveillant dans un fichier
Recherche de comptes
de contrôle pour laisser entrer les
attaquants.
Ajout d'informationsou
1. voler la clé de signature de jetons SAML ;
Usurpation decomptes dignes d'intérêt Extraction
ressources cloud, de rechercher des
d'e-mails
et d'exfiltrer
DLL légitime. dignes d'intérêt d'identification
2. audes
obtenir principal de
privilèges d'administrateur. l'application des e-mails.par le biais d'API
service des applications OauthMoyens de défense recommandés
Sept étapes à suivre pour vous protéger des techniques vues dans Solorigate
1. Utilisez des produits antivirus et PEPT à jour. 5. Veillez à ce que les comptes de service disposant de
droits d'administration utilisent des secrets à haute
2. Bloquez les points de terminaison C2 connus qui utilisent votre entropie (c'est-à-dire des certificats) stockés de manière
sécurisée. Surveillez les éventuelles modifications, ainsi
infrastructure réseau. que les connexions et les utilisations de comptes de
service anormales.
3. Sécurisez vos clés de signature de jetons SAML et envisagez
d'adopter une sécurité matérielle pour vos certificats de 6. Supprimez ou désactivez les applications et les principaux
signature de jetons SAML. Pour les services ADFS (Active de service inutilisés ou superflus. Réduisez les
Directory Federation Services), consultez les recommandations autorisations sur ceux dont vous disposez encore.
de Microsoft en matière de bonnes pratiques :
https://docs.microsoft.com/en-us/windows-server/identity/ad-
fs/deployment/best-practices-securing-ad-fs 7. Consultez les recommandations supplémentaires
suivantes pour sécuriser votre infrastructure d'identité
4. Suivez les meilleures pratiques en matière de droits Azure AD : https://docs.microsoft.com/en-
us/azure/security/fundamentals/steps-secure-identity
d'utilisateurs administrateurs et réduisez le nombre
d'utilisateurs membres de rôles d'annuaire à niveau de privilège
élevé.Attaque Solorigate
Chaîne d'attaque de bout en bout de haut niveau
Attaquant Serveur C2 initial Deuxième serveur C2
Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on-
d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud
Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de
pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges
distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des
Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux
programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des
dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer
DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
CLOUD
Attaquant
SolarWinds.Orion.Core.
BusinessLayer.dll
Recherche de Ajout d'informations Usurpation de Extraction
comptes dignes d'identification au l'application d'e-mails par
solarwinds.business SolarWinds.Orion.Core. La porte d'intérêt principal de service le biais d'API
layerhost.exe BusinessLayer.dll dérobée des applications
s'active Oauth01 Regardez la série de vidéos
consacrées à Solorigate à cet
emplacement
02 Visitez le site de Sécurité Microsoft
pour plus de mises à jour :
www.microsoft.com/en-us/security/
business
03 Lisez les billets de blog sur :
www.microsoft.com/security/blog
https://aka.ms/solorigateVous pouvez aussi lire
