EL ATAQUE A SOLARWINDS

Alcance, impacto y como protegernos

Alejandro Botter – SE Manager, South of Latin America

Renato Garreton - Threat Prevention Expert, LATAM
29/12/2020

©2020 Check Point Software Technologies Ltd. 1

©2020 Check Point Software Technologies Ltd. 2
Junio 2017 – NotPetya comenzó con una puerta trasera (backdoor)
integrada en la actualización del software de contabilidad M.E.Doc

Diciembre 2020 - Puerta trasera (backdoor) Sunburst integrada

en la actualización de SolarWinds Orion

Cual será el próximo?

©2020 Check Point Software Technologies Ltd. 3

 Que sabemos?
• La alerta AA20-352A apunta a un actor de amenazas
organizado con “OPSEC” muy fuerte
• Técnicas sofisticadas, multivectorial y persistente
• Se aprovechó SolarWinds Orion y aproximadamente 18.000
organizaciones descargaron una actualización vulnerable
• Más de 40 organizaciones conocidas por estar infiltradas
• Departamentos y agencias del gobierno de EE. UU.: Estado,
Seguridad Nacional, Institutos Nacionales de Salud, Defensa,
Energía, Tesoro, Comercio, Administración Nacional de Seguridad
Nuclear
• Sector privado: FireEye, Microsoft, VMware, Cisco y muchos mas

https://krebsonsecurity.com/
https://us-cert.cisa.gov/ncas/alerts/aa20-352a

©2020 Check Point Software Technologies Ltd. 4

Algunos datos conocidos y desconocidos..

2019?
2020?
Orion?
SAML? ?
SolarWinds indica que el SolarWinds Orion El actor de la amenaza
ataque inicial de la ha recibido mucha es desconocido pero
cadena de suministro se prensa, pero parece claramente profesional
remonta a Orion 2019.4, que hubo otros con capacidades de
pero es probable que vectores estado-nación
sean solo pruebas

©2020 Check Point Software Technologies Ltd. 5

Daños colaterales…
• Utilizando este vector de ataque, lograron extraer herramientas del
red team de la empresa de ciberseguridad Fireeye, el cual explotan
diversas vulnerabilidades
• Protecciones provistas por Check Point: http://tiny.cc/sk170918

• Investigadores descubren que otro grupo de atacantes estaba

explotando una vulnerabilidad de la API de Orion (CVE-2020-10148)
con el malware conocido como SUPERNOVA. En un segundo aviso
de seguridad, SolarWinds recomienda a todos los afectados migrar.
Mas info en: http://tiny.cc/SWSA

©2020 Check Point Software Technologies Ltd. 6

Que sabemos del ataque?

©2019 Check Point Software Technologies Ltd.

 Puntos importantes del flujo del ataque
• Forjar tokens SAML para hacerse pasar por cuentas con muchos privilegios
• El malware obtiene acceso al entorno de desarrollo de software
• Reemplaza el complemento SolarWinds.Orion.Core.BusinessLayer.dll en los
servidores de actualización [backdoor / puerta trasera]
• Clientes que recuperaron actualizaciones, instalaron esta puerta trasera
• El plugin llama al dominio avsmvcloud[.]com, específico de la víctima
• La comunicación imita el tráfico legítimo de la API de SolarWinds
• El malware se integra en la red y aparece como Protocolo de mejora de
Orion (OIP) mientras recopila y almacena datos
• El malware utiliza credenciales robadas para moverse lateralmente y
continúa en silencio el reconocimiento y el robo de datos

©2020 Check Point Software Technologies Ltd. 8

Cadena de suministro
Atacantes insertan código malicioso dentro de una librería (DLL) de un
software legitimo. La DLL comprometida es distribuida a organizaciones
que utilizan el software

Ejecución-Persistencia
Cuando el software inicia, la DLL comprometida carga y el código
malicioso insertado llama la función que tiene la capacidad de puerta
trasera (backdoor)

Evasión
El backdoor posee una lista valida de chequeos para asegurarse que
esta siendo ejecutado en una red comprometida

Reconocimiento
El backdoor recopila información del sistema

C&C Inicial
El backdoor se conecta a un servidor de comando y control
(C&C). El dominio al cual se conecta en parte se basa de la
información recopilada del sistema, haciendo que cada
subdominio es único. El backdoor podría recibir una dirección de
C&C adicional a la cual conectarse

Exfiltración
El backdoor envía la información recopilada al atacante

“Hands On”
El backdoor ejecuta comandos que recibe de los atacantes. La amplia
gama de funcionalidades del backdoor permiten a los atacantes
realizar actividades adicionales, como robo de credenciales, escalar
privilegios de forma progresiva y movimiento lateral

©2020 Check Point Software Technologies Ltd. 9

Sunburst: Vector de ataque (CISA AA20-352A)
Vector inicial Command and Acceso con Comprometiendo
control privilegios SAML

• Binario malicioso • Llamadas binarias a • Privilegio de Orion • Utiliza el

(solarwinds.orion. avsvmcloud.com que aprovechado para certificado de
core.businesslayer. imitan a SolarWinds llegar a Active firma SAML para
dll) insertado en el • La respuesta de DNS Directory escalar los
ciclo de vida de devuelve nuevos • Se agregaron privilegios de AD
SolarWinds Orion dominios o IP para tokens de • Crea tokens SAML
seguimiento C2 autenticación y
• Las actualizaciones adicionales que
se firmaron con un • Servidores privados credenciales a las son válidos
certificado de virtuales, IP rotativas, cuentas de
estenografía oculta C2 • Utiliza nuevos
firma legítimo dominio de AD
tokens para
• Los umbrales de tiempo • Los tokens brindan
complican el análisis de la
acceder a datos en
acceso a entornos servicios en la
red locales y en la nube
nube, como correo
• Valida la presencia de • Utiliza la confianza electrónico,
direcciones IP federada
“hardcodeadas” para emisión de tickets
potencialmente y uso compartido
encontrar sandbox utilizada para
de archivos
habilitar la
autenticación
remota

©2020 Check Point Software Technologies Ltd. 10

 Destacando parte del profesionalismo…

• La inserción del backdoor fue muy ligera

• Operado en paralelo con otros procesos
normales
• La nomenclatura de los elementos de
ataque parecen normales
• No usó términos comunes como
"keylogger" y "backdoor"

Analisis realizado por Microsoft: https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-

started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/

©2020 Check Point Software Technologies Ltd. 11

Versiones de SolarWinds Orion que son vulnerables

• 2019.4 HF5, version 2019.4.5200.9083

• 2020.2 RC1, version 2020.2.100.12219
• 2020.2 RC2, version 2020.2.5200.12394
• 2020.2, 2020.2 HF1, version 2020.2.5300.12432

Fuente: http://tiny.cc/SWSA
©2020 Check Point Software Technologies Ltd. 12
Escalando con SAML…

Analisis de Microsoft Solarigate Identity IOC: http://tiny.cc/msIoC

©2020 Check Point Software Technologies Ltd. 14
Como podemos protegernos?

©2019 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Primer paso escencial: Orion

• CISA requiere que las agencias federales civiles eliminen a Orion

de sus redes
• Si aún lo necesita, actualice a versiones nuevas que no estén
infectadas
• Restablezca todas las credenciales utilizadas o almacenadas en el
software SolarWinds
• Verifique todas las credenciales SNMP
• Trate todos los hosts y dispositivos monitoreados por Orion como
comprometidos
• Verifique los componentes de red de posibles backdoors

©2020 Check Point Software Technologies Ltd. 16

Arregle SAML y mejore la autenticación

Evite los Busque marcas

Utilice MFA tokens SAML de tiempo
largos SAML idénticas

Restablezca / Verifique inicios

reemplace
integraciones de
de sesión
claves API extraños

©2020 Check Point Software Technologies Ltd. 17

Esté atento a las herramientas de Microsoft…

• El correo electrónico es la sangre vital de la empresa

• Preste especial atención a los inicios de sesión de Office365 o los
cambios de cuenta
• Inspeccione a fondo los servidores de Exchange
• Busque problemas en el uso compartido de archivos: SharePoint,
OneDrive
• Realice análisis detallado de ADFS y AzureAD

©2020 Check Point Software Technologies Ltd. 18

 PROTECCIONES DE RED

©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
Defensa automatizada con Check Point Infinity Threat Prevention R81

A n t e s D u r a n t e L u e g o

Command & Act on

Reconnaissance Weaponization Delivery Exploitation Installation
Control Objectives
Threat
IPS Firewall Anti-Virus Anti-Bot Anti-Bot Firewall
Intelligence
Threat Endpoint Endpoint
IPS Forensics
Emulation Security Security

Firma IPS: Sunburst Backdoor Suspicious Traffic.
Package nr. 6342088393
Threat emulation(Sandboxing):
HackTool.Wins.FE_RT.A<XX>
Anti-Virus:
Trojan.Win32.SUNBURST.TC.XXX
Anti Bot:
Backdoor.Win32.SUNBURST.XX
Backdoor.Win32.Beacon.<A-H>

INTELIGENCIA DETECCION PREVENCION

©2020 Check Point Software Technologies Ltd. 20

Busque el incidente en su red

• Utilice funciones integradas del Gateway para encontrar indicadores

• Active protecciones en modo preventivo
• Ejecute un CheckUp para obtener un informe de estado rápido

Protección Software Blade License Bundle

Trojan.Win32.SUNBURST.TC.XXX Anti-Virus NGTP/SNBT
HackTool.Wins.FE_RT.A<XX> Threat Emulation SNBT
Backdoor.Win32.SUNBURST.XX Anti-Bot NGTP/SNBT
Backdoor.Win32.Beacon.<A-H> Anti-Bot NGTP/SNBT
Sunburst Backdoor Suspicious
IPS NGFW/NGTP/SNBT
Traffic (CPAI-2020-1309)
http://tiny.cc/sk171000
©2020 Check Point Software Technologies Ltd. 21
 Topología de Check Point
Gateway
Security CheckUp Copia (Mirror)
de trafico WAN

Copia (Mirror)
Copia (Mirror)
de trafico DMZ
de trafico LAN Internet
Red
DMZ

Conexión Firewall
de Internet actual

ISP
Modem/Router

Red de Red de
usuarios servidores

©2020 Check Point Software Technologies Ltd. 22

 SmartLog Query

(blade:Anti-Virus AND ("Trojan.Win32.SUNBURST.TC.*")) OR (blade:"Threat emulation" AND

(HackTool.Wins.FE_RT.A*)) OR (blade:Anti-Bot AND
(protection_name:("Backdoor.Win32.SUNBURST.*" OR "Backdoor.Win32.Beacon.*" OR
"Trojan.Win32.Rubeus.*"))) OR (blade:IPS AND attack_name:Sunburst Backdoor Suspicious Traffic")
OR ("solartrackingsystem.net" OR "virtualdataserver.com" OR "avsvmcloud.com" OR
"freescanonline.com" OR "databasegalore.com" OR "digitalcollege.org" OR "incomeupdate.com" OR
"deftsecurity.com" OR "highdatabase.com" OR "websitetheme.com" OR "thedoccloud.com" OR
"panhardware.com" OR "avsvmcloud.com" OR "lcomputers.com" OR "zupertech.com" OR
"kubecloud.com" OR "webcodez.com" OR "13.59.205.66" OR "54.193.127.66" OR "54.215.192.52" OR
"34.203.203.23" OR "139.99.115.204" OR "5.252.177.25" OR "5.252.177.21" OR "204.188.205.176"
OR "51.89.125.18" OR "167.114.213.199" OR "avsvmcloud.com" OR *sunburst* OR
*hacktool.wins.FE_RT*)

Fuente: http://tiny.cc/CPSunburstReport
©2020 Check Point Software Technologies Ltd. 23
SmartEvent Report

Fuente: http://tiny.cc/CPSunburstReport
©2020 Check Point Software Technologies Ltd. 24
 SANDBLAST AGENT: PROTECCION ENDPOINT

©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
 Endpoint: Ataque completo
AV Tradicional

Winword.exe

SolarWinds.Orion.
Core.dll cmd.exe PowerShell.exe
El ataque comenzó Ejecución sospechosa http://badsite/mlwe.exe
con un código
malicioso en un
documento

Explorer.exe
msosqm.exe

Wininit.exe Excel.exe

Prevenga el ataque completo!

NGAV
©2020 Check Point Software Technologies Ltd. 31
©2020 Check Point Software Technologies Ltd. 32
 ENTENDIENDO EL INCIDENTE COMPLETO…
Reporte forense

Debo
preocuparme?

Elementos Cual fue el

del impacto?
ataque

Tipo de
ataque

Como Todo
ingreso? limpio?

Comprender
las tácticas y
técnicas

Automatice el 80% del trabajo al analista

utilizadas
con el
framework
de MITRE

©2020 Check Point Software Technologies Ltd. 34

SandBlast Agent – Threat Hunting

©2020 Check Point Software Technologies Ltd. 36

 PROTECCION DE SERVICIOS SAAS

©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
PREVENCIÓN AVANZADA DE “ACCOUNT TAKEOVER”

Modo Agente Modo Agentless Detección de anomalías

Garantiza la salud Realiza autenticación Hora de conexión sospechosa,
del dispositivo multifactor (MFA) a ubicación del usuario, tipo de
través de SMS o correo conexión, etc.
electrónico

©2020 Check Point Software Technologies Ltd. 38

 INFINITY SOC

©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
 Threat Hunting con Infinity SOC

Busque indicadores Sunburst de forma simple Priorize los hallazgos Realice remediación
©2020 Check Point Software Technologies Ltd. 40
 Evite problemas de privacidad y altos costos
SUS LOGS NO SON EXPORTADOS O GUARDADOS

Proteja la privacidad y
cumpla regulaciones

Sus logs
Evite el costoso
almacenamiento de logs

Revolucionario método
de análisis de eventos en nube
©2020 Check Point Software Technologies Ltd. 41
Cazando un fantasma…

Encontró alguna actividad sospechosa?

Es tiempo de una evaluación de
compromiso, realizando análisis
forense completo
Principales áreas de interés:
• Active Directory
• Auditoría de dominio y usuario
• Endpoint Threat Hunting
• Cloud threat hunting

©2020 Check Point Software Technologies Ltd. 45

SLA de 30 minutos, AGNÓSTICO DE VENDOR
Recomendaciones
de largo plazo

47
Todo se trata de la cadena de suministro…

• NIST 800-161 y 800-171

• Cree un plan en torno a la cadena

de suministro de software
• Aplicar a todas las aplicaciones
críticas (y tal vez también a otras)
• Integrar la seguridad en los
procesos de CI / CD (DevSecOps)

©2020 Check Point Software Technologies Ltd. 48

 La nube y la red necesitan una buena arquitectura

• La segmentación es
necesaria en todas partes
• Red y nube
• Comprender la interacción
entre on premise y la nube
• No son lo mismo
• Debe tener visibilidad de
todos los sistemas en la
nube
• Cloud Security Posture
Management es critico

©2020 Check Point Software Technologies Ltd. 49

 • Sunburst tiene un gran impacto
• Este alerta de eventos de red y nube
Resumen
• Mantengase informado
• Podemos ayudarlo

©2020 Check Point Software Technologies Ltd. 50

 GRACIAS!

Alejandro Botter – SE Manager, South of Latin America

Renato Garreton - Threat Prevention Expert, LATAM
29/12/2020

©2020 Check Point Software Technologies Ltd. 51