Meldung

Cyberangriff missbraucht Admin-Tool SolarWinds Orion

Vor wenigen Tagen ist die russische Hacker-Gruppe Cozy Bear, auch als APT29 bekannt, in das Netzwerk des US-Finanz- und Handelsministeriums eingedrungen – so ein Bericht der Washington Post. Die Angreifer sollen dabei das Admin-Tool SolarWinds Orion kompromittiert haben, in das sie bereits im März 2020 eine Backdoor einbauten. Diese wurde dem Bericht zufolge dann genutzt, um nach der Installation des betroffenen Updates weitere Ziele zu infizieren.
Die Angreifer haben die Malware SUNBURST durch einen Supply-Chain-Angriff über die Orion-Plattform eingeschleust.
Da die Software auf Lieferantenebene kompromittiert wurde, war sie laut dem ebenfalls gehackten Sicherheitsanbieter FireEye mit gültigen Signaturen digital signiert. Daher wurde sie von Anti-Virus- oder Betriebssystem-Schutzmaßnahmen nicht erkannt. Der Einbruch soll seinen Ursprung in einem Supply-Chain-Angriff über die Orion-Plattform gehabt haben, um eine Malware namens SUNBURST zu liefern.

Nachdem das Opfer die infizierte Software installiert hatte, nutzte die APT-Gruppe privilegierte Konten, um sich lateral durch das Netzwerk zu bewegen und schließlich die Anmeldeinformationen eines Domain-Administrator-Kontos oder das SAML-Signaturzertifikat zu erhalten. Dies ermöglichte es den Angreifern, sich auf ein beliebiges lokales Gerät oder eine Cloudinfrastruktur zu bewegen. Diese Zugriffsebene ließ sich nutzen, um neue privilegierte Konten zu fälschen und einen festeren Fuß in der Organisation zu fassen.

Wonach Unternehmen in ihrer Umgebung suchen sollten

Unternehmen, die Tools zum Sammeln von Netzwerk-Metadaten verwenden, sollten die Aktivität im Zusammenhang mit der verknüpften APT29-Domain in den iSession-Metadaten-Streams überprüfen:
  • resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (ohne die eckigen Klammern)
  • resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (Ohne die eckigen Klammern)

Überprüfen Sie Aktivitäten, die von SolarWinds-Systemen unerwartet sind, über alle Metadaten hinweg:
  • orig_hostname:(solarwinds_01* OR SolarWinds_01*)

Sie sollten die Aktivität im Zusammenhang mit Admin-AD-Konten in den Kerberos_txn-Metadaten überprüfen:
  • client:(*admin_account* OR *Admin_Account*)

Überprüfen Sie die Aktivität in Bezug auf Admin-Konten in den NTLM-Metadaten:
  • username:(*admin_account* OR *Admin_Account*)

Überprüfen Sie die Aktivität in Bezug auf Administratorkonten in den RDP-Metadaten (beachten Sie, dass RDP-Cookies bei 9 Zeichen abgeschnitten werden):
  • cookie:(admin_acc OR Admin_Acc)
  • Das Cookie-Feld kann auch den Domainnamen vor dem Benutzernamen enthalten. Wenn dies der Fall zu sein scheint, führen Sie Suchen durch, bei denen ein SolarWinds-Server die Quelle ist.

SolarWinds hat ein Advisory [1] herausgegeben, das offenlegt, dass die Orion-Plattform, die zwischen März 2020 und Juni 2020 veröffentlicht wurde, betroffen ist. Der Hersteller empfiehlt allen Kunden so schnell wie möglich auf die Version 2020.2.1 HF 1 zu aktualisieren.
22.12.2020/jm

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Red Team Services verbessern die IT-Sicherheit [14.01.2021]

Red Team Services unterstützen Unternehmen durch Angriffssimulationen bei der Ermittlung von Sicherheitsschwachstellen. Organisationen können damit nicht nur feststellen, wie effektiv ihre bisher getroffenen Schutzmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind. Auf dieser Informationsbasis sind IT-Verantwortliche in der Lage, Verbesserungsmöglichkeiten zu identifizieren und konkrete Sicherheitsverfahren und -maßnahmen zu evaluieren, mit denen sie die Sicherheit nachhaltig erhöhen können. [mehr]

Fachartikel

Schatten-IT in der Teamkommunikation vermeiden [6.01.2021]

In Zeiten des mobilen Arbeitens und zunehmender Cyberkriminalität wird es immer wichtiger, dass Unternehmen potenzielle IT-Sicherheitslücken in der eigenen IT-Landschaft schließen. Die Crux: Aufgrund fehlender Lösungen greifen Mitarbeiter auf unautorisierte Consumer-Apps zurück, etwa WhatsApp. Eine derartige Schatten-IT gefährdet aber die Datensicherheit. Der Beitrag gibt sieben Tipps, wie IT-Administratoren die Teamkommunikation sicher gestalten und was bei der Auswahl entsprechender Werkzeuge zu beachten ist. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen