{"id":239007,"date":"2020-12-17T07:26:48","date_gmt":"2020-12-17T06:26:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=239007"},"modified":"2024-10-04T11:10:04","modified_gmt":"2024-10-04T09:10:04","slug":"sunburst-malware-analyse-tool-solarflare-ein-kill-switch-und-der-einstein-berwachungsflopp","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/17\/sunburst-malware-analyse-tool-solarflare-ein-kill-switch-und-der-einstein-berwachungsflopp\/","title":{"rendered":"SUNBURST-Malware: Analyse-Tool SolarFlare, ein 'Kill-Switch' und der Einstein-Überwachungsflopp"},"content":{"rendered":"

[English<\/a>]Kleine Erg\u00e4nzungen in Sache Hack von Firmen und US-Beh\u00f6rden durch die per Update f\u00fcr die Orion-Software ausgelieferte SUNBURST-Malware. Es gibt ein Analyse-Tool SolarFlare, zur Feststellung, welche Berechtigungen die Orion-Software hatte. Die Domain der Hacker mit dem C&C-Server wurde \u00fcbernommen – Microsoft und FireEye haben 'einen Killswitch' etabliert. Und die mit Milliarden-Kosten entwickelte Software Einstein hat von diesem Hack nichts mitbekommen.<\/p>\n

<\/p>\n

\"\"So nach dem Motto: Der Morgen ist gerettet, fasse ich einige Punkt bez\u00fcglich des Hacks diverser Firmen und US-Beh\u00f6rden durch die SUNBURST-Malware in diesem Beitrag zusammen. Es geht nach wie vor um die SUNBURST-Malware, die Hacker in die Updates der SolarWinds Orion-Produktlinie einschleusen konnten. Inzwischen ist klar, dass die Angreifer Zugriff auf die Quellcode-Basis des US-Sicherheitsanbieters SolarWinds gehabt haben mussten (siehe SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>). \u00dcber Monate haben sie das Einschleusen des Trojaners, der als Backdoor fungierte, vorbereitet und in den Quellcode eingeschleust. Details lest ihr in den am Artikelende verlinkten Blog-Beitr\u00e4gen.<\/p>\n

C&C-Domain-\u00dcbernahme wurde vollzogen<\/h2>\n

Im Blog-Beitrag Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a> hatte ich ja angedeutet, dass Microsoft und Industriepartner (GoDaddy als Registrar und FireEye als Analysefirma) an der \u00dcbernahme der Domain arbeiten, die den Command & Control-Server beinhaltet. In diesem Kommentar<\/a> (danke daf\u00fcr) wird auf den aktuellen Artikel<\/a> von Brian Krebs verwiesen. Krebs best\u00e4tigt jetzt die Domain-\u00dcbernahme und zitiert eine Antwort von FireEyes:<\/p>\n

SUNBURST is the malware that was distributed through SolarWinds software,\" FireEye said in a statement shared with KrebsOnSecurity. \"As part of FireEye's analysis of SUNBURST, we identified a killswitch that would prevent SUNBURST from continuing to operate.<\/p>\n

Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections.<\/p>\n

This killswitch will affect new and previous SUNBURST infections by disabling SUNBURST deployments that are still beaconing to avsvmcloud[.]com. However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.<\/p>\n

This killswitch will not remove the actor from victim networks where they have established other backdoors. However, it will make it more difficult to for the actor to leverage the previously distributed versions of SUNBURST.<\/p><\/blockquote>\n

Die Amis dr\u00fccken es drastisch aus und sprechen von einem Kill-Switch f\u00fcr die Malware. Im Grunde wurde nach der \u00dcbernahme der Domain die M\u00f6glichkeit des C&C-Servers entfernt, neue Module nachzuladen und Dokumente \u00fcber die Backdoor von den infizierten Netzwerken abzurufen – bzw. Abgerufenes ist unter der Kontrolle des Konsortiums, welches die Domain jetzt \u00fcbernommen hat.<\/p>\n

Wichtig erscheint mir der Hinweis auf den letzten Satz in obigem Statement: Dieser Killswitch sperrt die\u00a0 Angreifer nicht aus dem Netzwerk der gehackten Opfer aus. Denn diese haben l\u00e4ngst weitere Ma\u00dfnahmen ergriffen, um weiter auf die infizierten Systeme zuzugreifen. Die beste Hoffnung, ist, \u00fcber die Kommunikationsversuche und die dabei benutzte IP die Opfersysteme identifizieren und benachrichtigen zu k\u00f6nnen. Es bleibt also noch viel Arbeit f\u00fcr Forensiker und Administratoren.<\/p>\n

Analyse-Tool SolarFlare<\/h2>\n

Wer die Orion-Software mit den kompromittierten Updates auf seinen Systemen eingesetzt hat, kommt um eine forensische Analyse der Systeme und des Netzwerks nicht herum. Da w\u00e4re es schon gut, zumindest eine \u00dcbersicht zu haben, auf welche Systeme die Orion-\u00dcberwachungssoftware denn \u00fcberhaupt Zugriff hatte. In nachfolgendem Tweet<\/a> weist Catalin Cimpanu auf das neue Tool SolarFlare<\/em> hin, mit dem sich alle Anmeldedaten aus der Orion-Software auslesen lassen. Dies erm\u00f6glicht zu \u00fcberpr\u00fcfen, was von Hackern kompromittiert worden sein k\u00f6nnte.<\/p>\n

\"Analyse-Tool<\/a><\/p>\n

Administratoren h\u00e4tten dann die M\u00f6glichkeit, die Passw\u00f6rter f\u00fcr alle betroffenen Konten zu \u00e4ndern. Die Software ist hier beschrieben<\/a> und kann auf GitHub bezogen<\/a> werden.<\/p>\n

EINSTEIN-\u00dcberwachsungssystem hat versagt<\/h2>\n

EINSTEIN ist ein Intrusion Detection-System der CISA (Cybersecurity and Infrastructure Security Agency<\/a>), welches Netzwerke von US-Bundesbeh\u00f6rden \u00fcberwacht. Dieses Einbruchserkennungssystem wurde mit Milliarden US-Dollar entwickelt. Im Hinterkopf meine ich, hier im Blog mal einen Beitrag \u00fcber EINSTEIN gemacht zu haben, finde diesen aber nicht mehr. Ein wenig l\u00e4sst sich \u00fcber diese CISA-Seite herausfinden.<\/h4>\n

Einmal hat EINSTEIN einen Einbruchsversuch gemeldet – ich hatte im Blog-Beitrag CISA-Analyse best\u00e4tigt: US-Bundesbeh\u00f6rde Opfer eines Cyber-Angriffs<\/a> dar\u00fcber berichtet. Aber die Washington Post berichtet im Artikel The U.S. government spent billions on a system for detecting hacks. The Russians outsmarted it<\/a> s\u00fcffisant, dass die US-Regierung Milliarden f\u00fcr ein System zur Erkennung von Hacks ausgab. Und dann haben die Russen dieses tolle System einfach \u00fcberlistet (wer in diesem Satz Schadenfreude findet, darf diese behalten).<\/h4>\n

Der Hack ist erst aufgeflogen, als die mutma\u00dflich russischen Hacker nicht widerstehen konnten, sich an den Kronjuwelen der Sicherheitsfirma FireEye zu bedienen. Die haben n\u00e4mlich deren Red Team Tools beim Hack kopiert und abgezogen. In der darauf folgenden Analyse kam FireEye der Spionage-Kampagne auf die Spur (ich hatte hier im Blog in den nachfolgend verlinkten Artikeln Details berichtet).<\/p>\n

Der Artikel zitiert CISA-Sprecherin Sara Sendek, dass die 'Verst\u00f6\u00dfe' bis in den M\u00e4rz zur\u00fcckreichen und von keinem Intrusion Detection- oder Prevention-System erfasst wurden. Sobald die CISA Hinweise auf die Aktivit\u00e4ten erhielt, lud sie diese in Einstein, um bei der Identifizierung von Verst\u00f6\u00dfen in Beh\u00f6rdennetzwerken zu helfen.<\/p>\n

Die Washington Post schreibt: Einstein, das von der Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security betrieben wird, war nicht daf\u00fcr ausgestattet, neuartige Malware oder Internetverbindungen zu finden<\/em>. Erinnert mich an die alte Techniker-Weisheit 'wer misst, misst Mist'.<\/p>\n

Ein Bericht des Government Accountability Office aus dem Jahr 2018 empfahl den Verantwortlichen wohl, dass die Entwicklung einer solchen F\u00e4higkeit eine sinnvolle Investition sein k\u00f6nnte. Die Einbruch\u00fcberwachungssysteme von Sicherheitsfirmen nutzen auch diese Funktionen, um Malware und Einbruchsversuche zu verkennen. Auch Kommunikationsversuche mit\u00a0 unbekannten IP-Adressen k\u00f6nnen einen Alarm ausl\u00f6sen – EINSTEIN war auf diesem Auge blind.<\/p>\n

B\u00f6se Zungen meinen 'h\u00e4tten die mal einen Kaspersky installiert', was nat\u00fcrlich alles Quatsch ist. Erstens kommt Kaspersky ja von den Russen, und zweitens hauste die letzten vier Jahre ja ein au\u00dferordentlich stabiles Genie im wei\u00dfen Haus, welches einiges durcheinander gewirbelt hat.<\/p><\/blockquote>\n

Die Washington Post zitiert Thomas Bossert, einen Top-Beamter f\u00fcr Cybersicherheit sowohl in der George W. Bush- als auch in der Trump-Administration, mit der Aussage: \"Man kann mit Fug und Recht behaupten, dass Einstein nicht richtig konzipiert wurde. Aber das ist ein Versagen des Managements.\"<\/p>\n

Im Artikel wird Thomas Bossert, der an dem urspr\u00fcnglichen Einstein-Konzept in der George W. Bush-Administration gearbeitet hat, so zitiert: Die [urspr\u00fcngliche] Idee sei gewesen, aktive Sensoren am Internet-Gateway einer Beh\u00f6rde zu platzieren, die b\u00f6sartigen Command-and-Control-Verkehr erkennen und neutralisieren k\u00f6nnten. \"Aber die Bush-, Obama- und Trump-Administrationen haben Einstein nie so konzipiert, dass es sein volles Potenzial entfalten konnte.\"<\/p>\n

Auch solche Systeme k\u00f6nnen ausgetrickst werden, auch wenn sie (richtig eingesetzt) durchaus ihre Berechtigung haben und helfen k\u00f6nnen. Ich habe den Fall herausgezogen, weil mir immer die Sirenenges\u00e4nge der Vertriebler 'wir m\u00fcssen nur unsere neuesten Sicherheitsprodukte einsetzen, dass wird alles gut' in den Ohren summen. Auch dort werde ich den Verdacht nicht los, dass da nach der Methode 'Hallo, ich haben einen Hammer erfunden, zeige mir jetzt das Problem, welches ich damit l\u00f6sen soll' agiert wird.<\/p><\/blockquote>\n

Ganz interessant fand ich noch den Satz 'Aber der monatelange Hack von Bundesnetzwerken, der in den letzten Tagen aufgedeckt wurde, hat neue Schwachstellen aufgedeckt und einige bereits bekannte unterstrichen, darunter die Abh\u00e4ngigkeit der Bundesregierung von weit verbreiteter kommerzieller Software, die potenzielle Angriffsvektoren f\u00fcr Hacker […] bietet.' Diese Warnung gibt es ja auch in Deutschland … gelegentlich sogar hier im Blog – will nur niemand h\u00f6ren, weil man ja auf 'einen Standard' setzt.<\/p>\n

PS: Ich habe den falschen Weg im Job eingeschlagen. Das Angebot ist mir gerade unter die Augen gekommen – treibt einem armen Blogger Tr\u00e4nen zwischen die F\u00fc\u00dfe.<\/p>\n

\"SolarWinds<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleine Erg\u00e4nzungen in Sache Hack von Firmen und US-Beh\u00f6rden durch die per Update f\u00fcr die Orion-Software ausgelieferte SUNBURST-Malware. Es gibt ein Analyse-Tool SolarFlare, zur Feststellung, welche Berechtigungen die Orion-Software hatte. Die Domain der Hacker mit dem C&C-Server wurde \u00fcbernommen – … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239007","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239007"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239007\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}