黑暗光环利用SolarWinds破坏了突破组织

Volexity将发布与折衷相关的其他研究和指标，这些折衷会影响SolarWinds Orion软件平台的客户。

2020年12月13日星期日，FireEye详细说明了据称对SolarWinds公司的妥协。这种妥协涉及通过更新SolarWind的Orion软件产品来分发后门。 FireEye将此活动归因于其追踪为UNC2452的未知威胁参与者。随后，Volexity能够将这些攻击与它在2019年末和2020年在美国智囊团工作的多个事件联系在一起。 Volexity以Dark Halo的名字追踪这位威胁演员。

在一个特定的智囊团中，Volexity进行了三起涉及Dark Halo的单独事件。在最初的事件中，Volexity发现了多种工具，后门和恶意软件植入物，这些漏洞使攻击者多年来一直未被发现。从网络中解脱出来后，Dark Halo随后又利用组织的一个漏洞再次返回。在事件即将结束时，Volexity观察到威胁参与者使用一种新颖的技术绕过Duo多因素身份验证（MFA）通过组织的Outlook Web App（OWA）服务访问用户的邮箱。最终，在第三起事件中，Dark Halo于2020年6月和2020年7月通过其SolarWinds Orion软件破坏了该组织。

Dark Halo威胁演员的主要目标是在智囊团中获取特定个人的电子邮件。其中包括一些精选的执行官，策略专家和组织中的IT人员。 Volexity指出，其调查与FireEye报告直接相关，该报告基于命令和控制（C2）域之间的重叠以及其他相关指标，例如运行SolarWinds Orion的后门服务器。

Volexity已处理了涉及Dark Halo威胁演员的三起重大事件。在大多数情况下，行动者的目标是在这片土地上生活，主要集中在每周的活动中，以从组织中提取电子邮件。 Dark Halo确实使用了恶意软件和红队工具，但在很大程度上只能用于特定的一次性任务，以作为其他访问途径被切断时的后备机制。为了撰写本文，Volexity将分享第二次和第三次事故的新颖有用的信息。第二起事件涉及一种复杂的方法，该方法通过具有MFA保护的OWA来未经授权访问帐户。第三起事件涉及通过SolarWinds Orion平台的破坏。

在第二次Volexity涉及Dark Halo的事件即将结束时，观察到该演员通过OWA访问了用户的电子邮件帐户。出于某些原因，这是意外的，其中最重要的原因是目标邮箱受MFA保护。来自Exchange服务器的日志显示，攻击者提供的用户名和密码身份验证正常，但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明，未尝试登录到相关帐户。 Volexity能够确认不涉及会话劫持，并且通过OWA服务器的内存转储，还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。

Volexity对这一事件的调查确定，攻击者已从OWA服务器访问了Duo集成秘密密钥（akey）。然后，该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后，服务器评估了duo-sid cookie并确定其有效。这使攻击者知道用户帐户和密码，然后完全绕过帐户上设置的MFA。应该注意的是，这不是MFA提供程序的漏洞，并且强调了确保与密钥集成相关的所有机密（例如与MFA提供程序的密钥集成相关的机密）在发生违规后应被更改的必要性。此外，重要的是，不仅要在违规后更改密码，而且不要将密码设置为与以前的密码类似的内容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。

在2020年7月发生的第三起事件中，Volexity在组织的Exchange环境中发现了可疑的管理命令和ActiveSync异常。对组织的端点软件和网络流量的进一步检查确认存在违规行为。攻击者执行了命令以为组织中的特定用户导出电子邮件，然后通过组织的Outlook Web Anywhere（OWA）服务器窃取了数据。

FireEye通知涵盖了有关所使用恶意软件的许多技术细节。但是，在此博客中，Volexity可以共享攻击者在访问目标网络后采取的命令行操作的示例，并提供对其他工具，基础结构和攻击者目标的了解。

攻击者非常熟悉Exchange，并立即通过PowerShell列出了各种组织配置设置。以下是攻击者执行的一些操作。

使用以下命令获取Exchange服务器上的用户及其当前角色的列表：

C：\ Windows \ system32 \ cmd.exe / C powershell.exe -PSConsoleFile exshell.psc1-命令“ Get-ManagementRoleAssignment -GetEffectiveUsers |选择名称，角色，有效用户名，AssignmentMethod，IsValid | ConvertTo-Csv -NoTypeInformation | ％{$ _-替换'`n'，'_’} |输出文件C：\ temp \ 1.xml”

攻击者还利用了一个名为sqlceip.exe的文件，乍一看它可能是Microsoft提供的SQL Server Telemetry Client的合法版本。但是，Volexity确定此工具实际上是joeware.net的AdFind的版本。 AdFind是用于从Active Directory查询和提取数据的命令行工具。在调查过程中，Volexity使用AdFind和以下命令行来发现攻击者：

C：\ Windows \ system32 \ cmd.exe / C sqlceip.exe -default -f（名称=“组织管理”）成员-列表| sqlceip.exe -f objectcategory = *＆gt; 。\ SettingSync \ log2.txt

$ scheduler =新对象-ComObject（“ Schedule.Service”）; $ scheduler.Connect（$ env：COMPUTERNAME）; $ folder = $ scheduler.GetFolder（“ \ Microsoft \ Windows \ SoftwareProtectionPlatform”）; $ task = $ folder .GetTask（“ EventCacheManager”）; $ definition = $ task.Definition; $ definition.Settings.ExecutionTimeLimit =“ PT0S”; $ folder.RegisterTaskDefinition（$ task.Name，$ definition，6，“ System”，$ null，5 ）;回显“完成”

C：\ Windows \ system32 \ cmd.exe / C schtasks / create / F / tn“ \ Microsoft \ Windows \ SoftwareProtectionPlatform \ EventCacheManager” / tr“ C：\ Windows \ SoftwareDistribution \ EventCacheManager.exe” / sc ONSTART / ru system / S [机器名称]

攻击者使用New-MailboxExportRequest命令和Get-MailboxExport-Request命令从目标帐户中窃取了电子邮件数据。在这种情况下，攻击者仅对今年收到的邮件感兴趣。

C：\ Windows \ system32 \ cmd.exe / C powershell.exe -PSConsoleFile exshell.psc1-命令“ New-MailboxExportRequest -Mailbox \ [email protected] -ContentFilter {（Received -ge '03 / 01/2020'）}- FilePath'\\＆lt; MAILSERVER＆gt; \ c $ \ temp \ b.pst＆＃39;”

攻击者在受害人的OWA服务器上创建了受密码保护的档案，以便可以通过简单的HTTP请求将其窃取。

C：\ Windows \ system32 \ cmd.exe / C。\ 7z.exe a -mx9 -r0 -p [33_char_password]“ C：\ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \ Redir .png” C：\ Temp \ b.pst‍‍‍

Volexity还看到攻击者在位于此服务器上的另一个文件夹中进行其他渗透：

最后，攻击者使用Set-CASMailbox将自己的设备作为允许的ID进行活动同步，以对多个邮箱进行主动同步：

C：\ Windows \ system32 \ cmd.exe / C powershell.exe -PSConsoleFile exshell.psc1-命令“ Set-CASMailbox -Identity＆lt; UserID＆gt; -ActiveSyncAllowedDeviceIDs @ {add =’XXXXXXXXXXXXX’}”

在成功导出他们希望窃取的邮件之后，攻击者将使用Remove-MailboxExportRequest删除导出请求的证据：

在2020年7月的事件中，Volexity观察到至少两个指标与FireEye发布的危害指标重叠。该组织的SolarWinds服务器在以下子域下进行了DGA风格的DNS查询：

SERVFAIL响应满足了绝大多数查询。在大多数其他情况下，主机名解析为IP范围为184.72.0.0/16、20.141.48.0/24、8.18.144.0/24和8.18.145.0/24的IP。但是，对组织的重要响应来自2020年6月30日至2020年7月16日之间发生的CNAME响应。这些DNS决议返回了freescanonline [。] com域的CNAME。在7月下旬，攻击者利用了他们的访问权限，并开始在整个组织中横向移动，稍后将对此进行描述。最明显的是，攻击者将恶意软件推送到了其他系统，这些系统可追溯到以下其他基础结构：

在事件发生时（2020年7月），攻击者意外地将其服务器配置为可向Internet开放，并在端口80上接受任意请求。此后，攻击者已修复此问题;但是，当时，Volexity能够根据服务器配置文件识别多个C2地址。

具体来说，当时只有少数服务器按照以下顺序响应以下HTTP标头：

“服务器”值也指定了IIS10.0，但是此标头顺序与IIS 10.0使用的顺序不匹配。

基于这种模式，Volexity能够在2020年7月识别出以下IP地址：

13.57.1​​84.217 13.59.205.66 18.217.225.111 18.220.219.143 3.16.81.254 3.87.182.149

值得注意的是，其中一些域是在FireEye公布的较早的已知折衷日期之前建立的，例如solartrackingsystem [。] net，该网络在2020年1月被分配为其当前的名称服务器。其中一些域的注册历史可追溯至很长的历史。几年。 Volexity认为，攻击者会在域名过期后但被删除之前通过拍卖或从注册人那里获取这些域名。这使攻击者可以使用历史悠久的域，并且避免基于与新注册的域有关的检测而被检测到。

在调查时，Volexity推断出可能的感染是目标网络上SolarWinds盒的结果;但是，尚不能完全完全了解违规行为是如何发生的（即，游戏中是否存在一些未知的漏洞利用或其他访问手段），因此Volexity无法向SolarWinds报告违规情况。在Volexity参与事件响应工作之前，涉及该事件的计算机已重新启动了几次，这意味着丢失了许多本来应该存储在易失性存储器中的证据。

Volexity认为Dark Halo是基于攻击的以下特征的复杂威胁演员：

通常，攻击者在整个攻击过程中都显示出合理水平的操作安全性，采取措施清除所用各种服务的日志，并从受感染的系统中删除其命令的证据。

用于识别C2域的服务器配置文件仅在时间快照中可见，攻击者可能会意识到可以以这种方式识别其C2地址，因此他们继续保护其C2服务器。

尽管正在进行的活动持续了一年，但与此攻击者相关的文件很少进入VirusTotal。

在调查过程中，Volexity没有发现有关攻击者来源的任何暗示，也没有发现与任何已知威胁者的任何链接。

确保与MFA或其他敏感集成相关联的所有秘密密钥在违规后均被重置。

确保违规后重置组织中的所有凭据（包括服务帐户），并且不使用默认密码或与以前的密码相似的密码。

如果您运行本地Exchange环境，请考虑使用附录B中列出的Exchange命令行管理程序PowerShell cmdlet将警报机制添加到任何EDR解决方案流程中。这可能是有效的检测方法，具体取决于它在内部使用的频率。您的组织。

更一般而言，如果很少在合法的管理环境中使用Exchange命令行管理程序，则有必要调查一下此管理程序的任何历史用途。

13.57.1​​84.217 13.59.205.66 18,217,225,111 18,220,219,143 196.203.11.89 3.16.81.254 3.87.182.149 3.87.182.149 34,219,234,134 54.193.127.66 54.215.192.52 avsvmcloud [。]具有机密性[。]与digitalcollegeon [。] Org freescanline [。]具有globalnetworkissues [。]具有kubecloud [。]具有lcomputers [。]具有seobundlekit [。]具有solartrackingsystem [。]净thedoccloud [。]具有virtualwebdata [。]具有webcodez [。] com