SolarWinds Orion : playbook de réponse aux incidents pour traiter cette compromission

Pour les équipes de sécurité qui possèdent SolarWinds dans leur environnement et qui cherchent à mener des opérations de réponse aux incidents, nous vous proposons le playbook suivant, basé sur notre compréhension initiale de cette menace, afin de vous aider à investiguer toute attaque potentielle. Les informations présentées peuvent ne pas être complètes ou ne pas permettre d’éliminer toutes les menaces, mais nous pensons, selon notre expérience, qu’elles seront efficaces. Au fur et à mesure que de plus amples informations sur cette menace seront disponibles, les différentes étapes recommandées pour la traiter pourront alors changer ou être mises à jour.

Modèle de menace : exemple

Ce processus de réponse peut nécessiter une personnalisation pour s’adapter à votre environnement et est basé sur les hypothèses suivantes :

1. Une capacité à définir quand le composant vulnérable a été introduit dans l’environnement et obtenir des logs concernant la couverture pour cette période.
2. L’adversaire a accès à tous les comptes et identifiants utilisés par le serveur SolarWinds Orion et a la capacité de prendre l’identité de tout compte administratif ou associé.
3. L’adversaire a la capacité et un accès au réseau pour maintenir un canal C2 vers le serveur SolarWinds Orion.
4. La possibilité de déterminer qu’aucun compte utilisé par SolarWinds, ni aucun compte utilisé pour accéder au serveur SolarWinds Orion ne disposaient de droits administratifs de domaine complets.
5. Une capacité à déterminer qu’aucune activité malveillante active n’a eu lieu concernant le composant vulnérable sur la base des IOC et des détections actuellement disponibles.

Si vous trouvez des preuves d’activité malveillante ou si vous ne parvenez pas à tirer certaines des conclusions de base décrites ici, Sophos vous recommande de lancer vos procédures complètes de réponse aux incidents ou de demander une assistance externe.

Détection et analyse

Traque des instances SolarWinds impactées

Requêtes Endpoint

Sophos EDR/Osquery : requêtes de détection

Sophos Intercept X :

Sophos Application Control détecte toutes les versions de SolarWinds Orion sous le nom “SolarWinds MSP Agent“. Le contrôle des applications (Application Control) est un paramètre facultatif : parcourez le Guide d’assistance pour savoir comment l’activer et ajoutez SolarWinds à la liste des applications que vous souhaitez bloquer.

Détections Labs : liste des détections et des IOC

Manuel (exemple) :

PS C :\Windows\system32>Get-FileHash C:\Orion\Solarwinds.Orion.Core.Businesslayer.dll | Format-List

Algorithme : SHA256

Hachage : CE77D116A074DAB7A22A0FD4F2C1AB475F16EEC42E1DED3C0B0AA8211FE858D6

Chemin : C:\Orion\Solarwinds.Orion.Core.Businesslayer.dll

Requêtes réseau

SolarWinds peut être détecté via la surveillance du réseau en recherchant les call-homes effectués par son service de mise à jour. Les recherches Zeek IDS suivantes peuvent également vous aider : SIEM Searches.

Remarque : vous ne pourrez voir que la connexion sortante de votre instance SolarWinds principale et non les pollers.

Identifier les composants SolarWinds malveillants

Indicateurs Endpoint

Attention : vérifiez votre configuration concernant les exclusions. Rendez-vous sur https://twitter.com/ffforward/status/1338785034375999491

Sophos Intercept X/Central Endpoint Protection :

Les SophosLabs fournissent à la fois des détections pour le composant malveillant et la signature supplémentaire qui indiquent une exploitation active. Sophos a également bloqué tous les indicateurs IP et de domaine associés pour ses clients. Consultez GitHub pour obtenir les noms de détection.

Sophos EDR/OSquery : requêtes de détection

Indicateurs de réseau

Sophos a également bloqué tous les indicateurs IP et de domaine associés pour ses clients XG et SG. Si vous disposez d’une télémétrie réseau supplémentaire, les recherches suivantes peuvent également être utiles : SIEM Searches.

Remarque : Les attaques communiquent vers C2 via TLS, de sorte qu’un résultat au niveau d’un hachage de fichier est peu probable à moins que vous ne puissiez gérer le protocole TLS.

Préparez votre analyse forensique

Si possible, obtenez un instantané (snapshot) de tous les hôtes concernés avec les versions correspondantes d’Orion installées.

Assurez-vous que les processus de réalisation de vos snapshots capturent également la mémoire.

• VMware : https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.html.hostclient.doc/GUID-A0D8E8E7-629B-466D-A50C-38705ACA7613.html
• Hyper-V : https://support.citrix.com/article/CTX126393

Une acquisition forensique légère peut également être effectuée à l’aide de la fonction “Forensic snapshot” au niveau de Sophos EDR.

Le périmètre concerné par les comptes potentiellement compromis

Les comptes potentiellement concernés sont :

1. Tous les comptes SolarWinds utilisés pour la surveillance du réseau, y compris les comptes locaux Windows, les comptes de domaine, SNMP, SSH, etc.
2. Tous les autres comptes utilisés sur les serveurs SolarWinds Orion affectés. Ceux-ci incluent toutes les connexions administratives (par exemple, EventCode 4624) au serveur et tout compte local ou de service (par exemple, le compte de base de données SQL local).

Le tableau suivant peut être utilisé pour documenter tous les comptes potentiellement concernés :

Identification des chemins d’attaque à forte valeur concernant les comptes potentiellement compromis

Pour tous les comptes potentiellement compromis répertoriés ci-dessus, identifiez les autres systèmes à forte valeur (par exemple, les contrôleurs de domaine, les services Active Directory Federation et les serveurs Azure Active Directory Connect) auxquels ils avaient accès.

1. Évaluez les logs d’authentification du système local pour détecter toute activité anormale au niveau des comptes compromis.
2. Bloodhound peut également être utilisé pour cartographier l’accès à tous les comptes potentiellement concernés.

Si les serveurs ou comptes impliqués dans l’authentification fédérée (par exemple, les serveurs ADFS) ont été potentiellement affectés, reportez-vous au Guide Client (Customer Guidance) de Microsoft et développez une stratégie de confinement appropriée supplémentaire .

Confinement et suppression

Avertissement : ces étapes supposent une volonté de préserver l’environnement pour une investigation forensique plus approfondie et peuvent avoir un impact sur les environnements de production.

1. Isolez toutes les instances SolarWinds Orion du réseau :
   1. L’isolement instantané peut être effectué au niveau de l’hôte à l’aide de contrôles tels que Sophos EDR via Sophos Central.
   2. L’isolation basée sur l’hôte doit être sauvegardée par une isolation basée sur le réseau. Les systèmes doivent migrés vers un VLAN non routable isolé avec uniquement un accès à la console (la migration vers un VLAN permet de préserver l’état du réseau pour de futures analyses).
2. Réinitialisez ou désactivez les identifiants et recréez tous les comptes potentiellement concernés :
   1. Important : assurez-vous qu’aucun compte actualisé ou réinitialisé ne soit utilisé pour accéder à une infrastructure compromise.
3. Reconstruisez de nouveaux serveurs de surveillance à partir de sources fiables, prêts pour le déploiement d’une plateforme Orion version 2020.2.1 HF 2, dont la sortie est prévue pour mardi 15 décembre 2020.
4. Envisagez de prendre des instantanés (snapshots) forensiques et de reconstruire des hôtes exposés supplémentaires, notamment :
   1. 1. Tous les hôtes exécutant l’agent SolarWinds.
      2. Tous les hôtes pour lesquels des comptes potentiellement compromis disposaient de droits d’accès.

Découvrez les dernières mises à jour : 2020-12-15T12:18Z (changelog)

Billet inspiré de Incident response playbook for responding to SolarWinds Orion compromise, sur le Blog Sophos.