Présentation de Solorigate - Tim Burrell Responsable partenaires en ingénierie Microsoft Threat Intelligence Center
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Présentation de Solorigate Tim Burrell Responsable partenaires en ingénierie Microsoft Threat Intelligence Center 18 février 2021
01 Présentation de Solorigate 02 Apparition de Solorigate 03 Moyens utilisés par l'intrus pour accéder aux comptes 04 Sept étapes à suivre pour protéger votre organisation 05 Il est temps d'investir dans la modernisation de votre SOC
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
Attaque Solorigate Chronologie Mars : début estimé de la distribution de la porte dérobée Solarigate Distribution de SUNBURST et profilage des cibles 4 septembre : début de l'accès à Mai : début estimé des attaques 12 décembre : divulgation de SolarWinds par les attaquants* de type « hands-on-keyboard » l'attaque par la chaîne (menées manuellement) d'approvisionnement Solorigate 12 septembre : début de Activation de TEARDROP l'injection du code de test Poursuite de l'activité de type « hands-on-keyboard » par les attaquants* 4 novembre : arrêt de 20 février : compilation et 4 juin : suppression par les attaquants l'injection du code de test déploiement de la porte des logiciels malveillants qu'ils avaient par les attaquants* dérobée Solorigate* introduits dans les environnements de build SolarWinds* 2019 2020 2021 Sep Oct Nov Déc Jan Fév Mar Avr Mai Juin Juil Août Sep Oct Nov Déc Jan * Divulgué par SolarWinds Microsoft Les informations étaient correctes en date du 1er janvier 2021. Veuillez consulter le site aka.ms/solorigate pour accéder aux mises à jour les plus récentes.
ATTAQUE PAR LA CHAÎNE D'APPROVISIONNEMENT Les attaquants introduisent du code malveillant dans un composant DLL d'un logiciel légitime. Le fichier DLL Attaquant compromis est distribué aux organisations qui utilisent le SolarWinds.Orion.Core. logiciel correspondant. BusinessLayer.dll EXÉCUTION, PERSISTANCE Au démarrage du logiciel, le fichier DLL compromis se charge et le code malveillant inséré appelle la fonction qui contient les fonctionnalités de la porte dérobée. solarwinds.business SolarWinds.Orion.Core. La porte layerhost.exe BusinessLayer.dll dérobée s'active
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails.
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 ATTAQUE DE TYPE « HANDS-ON KEYBOARD » DANS LE CLOUD Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte dérobée) malveillant dans un fichier Recherche de comptes de contrôle pour laisser entrer les attaquants. Ajout d'informationsou 1. voler la clé de signature de jetons SAML ; Usurpation decomptes dignes d'intérêt Extraction ressources cloud, de rechercher des d'e-mails et d'exfiltrer DLL légitime. dignes d'intérêt d'identification 2. audes obtenir principal de privilèges d'administrateur. l'application des e-mails.par le biais d'API service des applications Oauth
Moyens de défense recommandés Sept étapes à suivre pour vous protéger des techniques vues dans Solorigate 1. Utilisez des produits antivirus et PEPT à jour. 5. Veillez à ce que les comptes de service disposant de droits d'administration utilisent des secrets à haute 2. Bloquez les points de terminaison C2 connus qui utilisent votre entropie (c'est-à-dire des certificats) stockés de manière sécurisée. Surveillez les éventuelles modifications, ainsi infrastructure réseau. que les connexions et les utilisations de comptes de service anormales. 3. Sécurisez vos clés de signature de jetons SAML et envisagez d'adopter une sécurité matérielle pour vos certificats de 6. Supprimez ou désactivez les applications et les principaux signature de jetons SAML. Pour les services ADFS (Active de service inutilisés ou superflus. Réduisez les Directory Federation Services), consultez les recommandations autorisations sur ceux dont vous disposez encore. de Microsoft en matière de bonnes pratiques : https://docs.microsoft.com/en-us/windows-server/identity/ad- fs/deployment/best-practices-securing-ad-fs 7. Consultez les recommandations supplémentaires suivantes pour sécuriser votre infrastructure d'identité 4. Suivez les meilleures pratiques en matière de droits Azure AD : https://docs.microsoft.com/en- us/azure/security/fundamentals/steps-secure-identity d'utilisateurs administrateurs et réduisez le nombre d'utilisateurs membres de rôles d'annuaire à niveau de privilège élevé.
Attaque Solorigate Chaîne d'attaque de bout en bout de haut niveau Attaquant Serveur C2 initial Deuxième serveur C2 Compromission de la chaîne Accès initial, commande et Attaque de type « hands-on- Attaque de type « hands-on- d'approvisionnement contrôle keyboard » en local keyboard » dans le cloud Les attaquants compromettent le Le fichier DLL compromis est chargé au L'accès par la porte dérobée permet aux Les attaquants utilisent une clé de pipeline de développement ou de démarrage de l'application et exécute le attaquants de voler des informations signature ou des privilèges distribution du logiciel SolarWinds code de la porte dérobée, qui se d'identification, de réaffecter des privilèges et d'administrateur volés pour créer des Orion Platform pour introduire un connecte à un serveur de commande et de se déplacer latéralement pour : jetons SAML afin d'accéder aux programme backdoor (ou porte de contrôle pour laisser entrer les 1. voler la clé de signature de jetons SAML ; ressources cloud, de rechercher des dérobée) malveillant dans un fichier attaquants. ou comptes dignes d'intérêt et d'exfiltrer DLL légitime. 2. obtenir des privilèges d'administrateur. des e-mails. CLOUD Attaquant SolarWinds.Orion.Core. BusinessLayer.dll Recherche de Ajout d'informations Usurpation de Extraction comptes dignes d'identification au l'application d'e-mails par solarwinds.business SolarWinds.Orion.Core. La porte d'intérêt principal de service le biais d'API layerhost.exe BusinessLayer.dll dérobée des applications s'active Oauth
01 Regardez la série de vidéos consacrées à Solorigate à cet emplacement 02 Visitez le site de Sécurité Microsoft pour plus de mises à jour : www.microsoft.com/en-us/security/ business 03 Lisez les billets de blog sur : www.microsoft.com/security/blog https://aka.ms/solorigate
Vous pouvez aussi lire