Vor einigen Wochen hat das Forscherteam von Windows Defender Advanced Threat Protection (Windows Defender ATP) Sicherheitsmeldungen entdeckt, die durch bemerkenswerte Angriffsmuster ausgelöst wurden. Diese frühen Meldungen haben eine sehr gut geplante und orchestrierte Cyberattacke auf mehrere Unternehmen aus den Bereichen Technologie und Finanzwesen aufgedeckt. Ein unbekannter Angreifer hat sich einen ruhigen aber effektiven Angriffsvektor zu Nutze gemacht: der kompromittierte Update-Mechanismus oder die Software-Lieferkette für ein Bearbeitungs-Tool von einem Drittanbieter. Während die Software-Lieferkette als Kanal für den Angriff anderer Unternehmen diente, wurde der Anbieter selbst angegriffen.
Wäre diese Cyberattacke unentdeckt geblieben, wäre sie viel problematischer geworden. Die frühe Erkennung ermöglichte einem Team von Sicherheitsexperten der betroffenen Unternehmen, Entwicklern des Drittanbieters sowie Microsoft-Sicherheitsforschern, die Aktivitäten des Angreifers schnell zu identifizieren und zu neutralisieren.
Untersuchung der Benachrichtigungen und des Prozessbaumes
Unabhängig davon, wie ein Angriff ausgeführt wird – raffiniertes Social Engineering oder ein Zero-Day Exploit –, ist die erste Phase oder der Einstiegsvektor einer Attacke oft der herausforderndste Teil, um den Angriff zu verstehen. Die Forscher wurde durch Windows Defender ATP auf verdächtige PowerShell-Skripte, sich selbstlöschende ausführbare Dateien und andere Aktivitäten auf den Angriff aufmerksam. Ein schnelle Überprüfung in der Konsole des Windows Defender ATP führte zu einer Maschine, die bereits angegriffen wurde. Allerdings blieb die Quelle der Attacke verborgen. Die Forscher mussten zusätzliche Untersuchungen anstellen, um diese aufzudecken.
Mithilfe der Ansichten „Timeline“ und „Prozessbaum“ in der Konsole von Windows Defender ATP konnten die Forscher die Prozesse identifizieren, die für die schädlichen Aktivitäten verantwortlich waren. Zudem konnten sie erkennen, wann genau die Angriffe stattfanden. Die Aktivitäten verfolgten die Forscher zu einem Update für ein Bearbeitungs-Tool zurück. Anschließend haben sie sich damit beschäftigt, wie dieser legitime Prozess in die Angriffe involviert wurde.
Bild 1: Erste Meldungen wurden durch PowerShell-Aktivitäten ausgelöst, die durch Windows Defender ATP erkannt wurden.
Update von Drittanbietern als Angriffsvektor
Während einer forensischen Analyse muss ein Incident Responder jede mögliche Erklärung für eine Attacke in Betracht ziehen. Nachdem mehrere Angriffsoptionen – wie eine Local-Man-in-the-Middle-Attacke, Malware Injection oder gebündelte Malware-Installer – ausgeschlossen wurden, fokussierten sich die forensischen Untersuchungen auf den Temp-Ordner auf den betroffenen Maschinen. Die Untersuchung führte zu einem legitimen Updater eines Drittanbieters, der als Service ausgeführt wurde. Der Updater hat eine nicht-signierte ausführbare Datei heruntergeladen, bevor verdächtige Aktivitäten beobachtet wurden.
Die heruntergeladene Datei war eine bösartige Binärdatei, die gebündelt PowerShell-Skripte und die Meterpreter Reverse Shell gestartet hat. Dadurch erhielt der Angreifer die Kontrolle über einen Rechner. Die Binärdatei wird von Microsoft als Rivit erkannt.
Obwohl diese Cyberattacke keine Zero-Day-Lücke ausgenutzt hat, kompromittierte sie erfolgreich ein Asset. Der Angreifer nutzte die verbreitete Vertrauensbeziehung mit Software-Lieferketten aus. Zudem half ihm dabei, dass er bereits Kontrolle über den Remote-Update-Kanal hatte. Diese allgemeine Angriffstechnik auf selbstaktualisierende Software und ihre Infrastruktur kam bereits bei einer Serie von bekannten Attacken zum Einsatz, wie bei den Angriffen auf den EvLog-Update-Prozess von Altair Technologies, den Auto-Update-Mechanismus für die Software SimDisk und die Update-Server von ALZip von ESTsoft.
Ein weiterer interessanter Aspekt dieser Attacke war, dass sie nur bestimmte Maschinen betroffen hat. Die meisten Maschinen, die ebenfalls ein Ziel hätten sein können, hat der Angreifer ignoriert. Bis zu einem gewissen Punkt hat dies die Untersuchungen erleichtert – es führte zu einem Sicherheitsvorfall, der in seinem Ausmaß begrenzt war. Allerdings ist es ein Hinweis darauf, dass Angreifer sich mehr auf ausgewählte Attacken auf wertvolle Ziele beschränken, während sie unbemerkt agieren können.
Verbreitete Tools bei raffinierten Attacken
Während der Angriff selbst – inklusive Auswahl der Ziele – offenbar sorgfältig vorbereitet wurde, beinhaltete das Angriffs-Toolset verbreitete Tools und einfache Malware. Die Tools werden auch in typischen Penetrationstest verwendet. Die Malware-Binärdatei, die Cyberkriminellen gaben ihr den Namen „ue.exe“, war nur ein kleiner Code-Teil. Sein einziger Zweck bestand darin, eine Meterpreter Shell zu starten. Dies ist ein verbreitetes Pen-Test-Tool.
Bild 2. Verschlüsselte PowerShell-Befehle, die von der Binärdatei mithilfe des Updaters gestartet wurden.
Die Verwendung von gewöhnlichen Tools und verbreiteten Methoden ermöglicht fortschrittlichen Angreifern, einer klaren Zuordnung auszuweichen und ihre Aktivitäten hinter typischen Rauschen bei Erkennungen zu verstecken. Sie hindern Threat-Intelligence-Systeme daran, Attacken mit besonderen Akteuren in Verbindung zu bringen. Diese lassen sich oft anhand von einzigartigen Techniken, Taktiken und Methoden personifizieren.
Eine Betrachtung der Angriffsaktivitäten, die von Windows Defender ATP erkannt und aufgezeichnet wurden, hat ergeben, dass diese entweder mit einem nativen Systembefehl oder einem geskripteten Tool nur im Speicher durch PowerShell ausgeführt wurden. Diese In-Memory-Technik wird immer häufiger eingesetzt. Moderne Angreifer können somit offensichtliche Spuren auf der Festplatte vermeiden.
Während der Attacke haben die Forscher folgende Techniken und Methoden beobachtet:
- Kurzlebige, selbstzerstörende Binärdateien
- Memory-only Payloads unterstützt durch PowerShell und Meterpreter, die in „rundll32“ ausgeführt werden
- Aktivitäten zur Aufklärung, inklusive Maschinenaufzählung, Verwendung von Standardbefehlen wie NET, IPCONFIG, NETSTAT, NLTEST und WHOAMI
- Migration in langlebige Prozesse wie Windows Printer Spooler oder „spoolsv.exe“
- Verwendung von gewöhnlichen Tools wie Mimikatz und Kerberoast, um Hashes abzuladen
- Verbreitung im Netzwerk mithilfe von Windows Mangement Instrumentation (WMI), vor allem der WMIC/node-Befehl
- Beständigkeit durch geplante Tasks, die mithilfe von SCHTASK und AT-Befehlen erstellt wurden
Bild 3. Verwendung von Meterpreter Payload, um eine Reverse Shell zu öffnen, die dem Angreifer Kontrolle gibt.
Angriffsindikatoren für „Operation WilySupply”
Die folgenden Netzwerkadressen wurden von den Angreifern aktiv verwendet, um einen ersten Netzwerkscan und eine Command-and-Control-Kommunikation durchzuführen:
- hXXp://5.39.218.205/logo.png (verwendet für eine erste Infektion und C&C-Kommunikation)
- hXXp://176.53.118.131/logo.png (verwendet für die Verbreitung und C&C-Kommunikation)
Dieselben IP-Adressen wurden mit unterschiedlichen URLs genutzt, um die Meterpreter-basierten Payloads herunterzuladen. Die „logo.png“-Dateien in den ersten URLs enthielten die PowerShell-Skripte, verschlüsselt in base64-gzip.
Bild 4. PowerShell-Skript in base64-gzip-Verschlüsselung enthält die PNG-Dateien.
Die Indikatoren für die schädlichen Beispiele, die mithilfe des Drittanbieter-Updater heruntergeladen wurden, sind:
- Dateiname: ue.exe
- Größe: 132.096 Bytes
- SHA1: 75edd4ee11e7d3dabd191c316da637f939140e2f
- MD5: a34c930506b64f98cdf3ec2a474f5b31
Die Microsoft-Forscher gehen davon aus, dass die Gruppe hinter „Operation WilySupply“ aus finanziellen Motiven gehandelt hat. Sie haben Software-Pakete von Drittanbietern mithilfe von Updatern und anderen Kanälen kompromittiert, um ihre Opfer zu erreichen. Die Ziele stammen zum Großteil aus der Finanz- und Bezahlindustrie.
Angriffsflächen in Software-Lieferketten reduzieren
Um die Verwendung von Updatern als Angriffsfläche einzudämmen, hat Microsoft Windows Defender ATP verbessert. Dieser kann kompromittierte Updater erkennen. Dies umfasst die beschriebenen Aktivitäten als Teil eines versuchten Cyberangriffs. Dafür analysiert Windows Defender ATP große Datensätze, um das normale Verhalten von Updatern kennenzulernen und bei Abweichungen Alarm zu schlagen. In dem untenstehenden Beispiel hat Windows Defender ATP einen Updater entdeckt, der eine unsignierte ausführbare Datei herunterlädt, obwohl er nur signierte Binärdateien herunterladen soll.
Bild 5. Windows Defender ATP erkennt ein anormales Updater-Verhalten.
Windows Defender ATP ist Kernbestandteil von Windows 10 Enterprise und kann kostenlos getestet werden.
Microsoft empfiehlt Software-Anbietern, die automatische Updater vertreiben, ihren Code mithilfe von SDL-Best-Practices zu überprüfen und folgende Sicherheitsmaßnahmen umzusetzen:
- Verwenden Sie starke Verschlüsselungen, um Update-Kanäle zu schützen. Vermeiden Sie es, Ziel von Angriffen zu werden, die gewöhnliche Pen-Test-Tools wie Evil Grade einsetzen. Ziehen Sie in Betracht, Zertifikat-Pinning in den Update-Protokollen zu verwenden.
- Validieren Sie Ihre Digitalsignatur anhand Ihrer eigenen Zertifikaten, bevor Sie Binärdateien ausführen, die Sie aus dem Update-Kanal bezogen haben.
- Platzieren Sie Skripte und Konfigurationsdateien in signierten Containern. Im Gegensatz zu signierten Binärdateien werden Skripte und Konfigurationsdateien oft nicht-verifiziert geladen. Wenn diese nicht in signierten Containern verwendet werden, sind sie anfällig für Manipulationen.
- Beachten Sie, dass saubere, signierte Binärdateien weiterhin gefährliche Befehle erlauben, die über die Kommandozeile ausgeführt werden können.
- Stellen Sie sicher, dass Update-Prozesse mit höheren Privilegien, keinen Ordnern vertrauen, die mit niedrigen Privilegien verändert werden können. Dazu zählt unter anderem der Temp-Ordner.
- Schützen Sie Ihre Update-Infrastrukturen vor Eindringlingen, indem Sie regelmäßige Sicherheits-Updates vornehmen und kritische Mechanismen aktuell halten. Dazu gehören Firewall, Anti-Malware, Zwei-Faktor-Authentifizierung und wiederkehrende Log Reviews.