A Varonis, pioneira em análise e segurança de dados, identificou um pico nas investigações forenses relacionadas às invasões do software SolarWinds Orion. Embora haja evidências de comprometimento nas versões 2019.4 HF 5 até 2020.2.1 do sistema, é possível que o código malicioso tenha começando bem antes, com os tokens SAML (Security Assertion Markup Language), um padrão aberto que permite que provedores de identidade passem credenciais de autorização para provedores de serviço.
No caso da invasão ao Orion, os atacantes introduziram um backdoor pré-criado em um produto de software confiável (SolarWinds Orion) que foi entregue automaticamente a milhares de clientes, disfarçado como uma atualização normal. No entanto, nem todas as organizações que utilizam o sistema foram alvos dos ataques.
O mais provável é que o grupo por trás das ameaças tenha se valido de credenciais expostas em 2018 pelo GitHub para obter acesso à infraestrutura de atualização de software da empresa. A partir da liberação, foi possível adicionar um backdoor malicioso a um dos DLLs (Dynamic-link library), que nada mais é do que extensões criadas pela Microsoft para o conceito de bibliotecas compartilhadas nos sistemas operacionais Microsoft Windows e OS/2.
De acordo com Carlos Rodrigues, vice-presidente da Varonis, a assinatura do DLL pode ter ocorrido de duas formas: por meio de uma base no processo de desenvolvimento, na qual o atacante adicionou o backdoor e deixou que a SolarWinds assinasse como parte do processo de implantação; ou ainda roubando a chave privada do certificado e substituindo o DLL oficial por uma versão maliciosa.
“Seja qual for o processo, é importante prestar atenção extra aos alertas e atividades de contas de serviços e diretórios em ambientes híbridos (AAD), especialmente conexões incomuns, alterações de domínio ou atividades do sistema de arquivos, principalmente aquelas relacionadas a dados ou sistemas confidenciais”, alerta o executivo.
Ameaças Avançadas
A Varonis também detectou outras atividades consistentes com as técnicas, táticas e procedimentos (TTPs) utilizados no caso Orion, incluindo falhas na autenticação do Outlook e outros sistemas do Windows. Isso pode indicar que existem vetores iniciais ainda não conhecidos.
No caso dos tokens SAML, é importante analisar as condições em que são realizados os logins. Normalmente, os tokens têm validade de uma hora. Longas durações, como 24 horas, podem indicar uma violação. Além disso, um token que não tem um login associado a sua conta de usuário após ser gerado também merece uma investigação.
“Detectar esse tipo de atividade exige maturidade de segurança da organização para identificar comportamentos que estão fora das funções normais de um usuário, como, por exemplo, uma solicitação do departamento de RH pedindo para acessar o banco de dados de inteligência de ameaças cibernéticas”, avalia Rodrigues.
“Os antivírus normais não protegem contra esse tipo de vulnerabilidade. Além de falsos positivos ou negativos, como as invasões são realizadas pelas laterais, ou seja, se aproveitando de falhas no privilégio de acesso, essas ferramentas não conseguem impedir que o ataque seja perpetrado. É imprescindível a adoção de uma solução de prevenção, que seja capaz de analisar atividades de dados e comportamento do usuário, bloqueando downloads de dados sensíveis e reduzindo as chances de vulnerabilidade, além de proteger os ambientes corporativos em todas as pontas, seja na nuvem ou em servidores físicos”, finaliza.
