數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

 

黑(hēi)客組織最近對大(dà)型網絡安全機構FireEye公司的入侵是一次規模更大(dà)的網絡攻擊，該攻擊是通(tōng)過對主流網絡監控産品進行(xíng)惡意更新而實施的，并對一些(xiē)政府機構和(hé)企業造成了影(yǐng)響。該事件凸顯了對軟件供應鏈網絡攻擊可(kě)能造成的嚴重影(yǐng)響，而大(dà)多(duō)數(shù)組織都沒有(yǒu)為(wèi)預防和(hé)檢測此類威脅做(zuò)好準備。

 

今年3月，一個(gè)黑(hēi)客組織在一次網絡攻擊中獲得(de)了訪問多(duō)個(gè)美國政府部門(mén)(其中包括美國财政部和(hé)美國商務部)服務器(qì)系統的權限。這一事件導緻美國國家(jiā)安全委員會(huì)當時(shí)立即召開(kāi)緊急會(huì)議商議應對和(hé)解決。

 

黑(hēi)客組織“Cozy Bear”的網絡攻擊破壞了SolarWinds公司開(kāi)發的名為(wèi)“Orion“的網絡和(hé)應用程序監視(shì)平台，然後使用這一訪問權限來(lái)生(shēng)成木馬并将其分發給軟件用戶。在這一消息傳出之後，SolarWinds公司在其網站(zhàn)上(shàng)的一個(gè)頁面宣稱，其客戶包括美國财富500強中的425家(jiā)廠商、美國十大(dà)電(diàn)信公司、美國五大(dà)會(huì)計(jì)師(shī)事務所、美國軍方所有(yǒu)分支機構、五角大(dà)樓、美國國務院，以及全球數(shù)百所大(dà)學和(hé)學院。

 

對SolarWinds公司的軟件供應鏈進行(xíng)攻擊還(hái)使黑(hēi)客能夠訪問美國網絡安全服務商FireEye公司的網絡，這一漏洞于日前宣布，盡管FireEye公司沒有(yǒu)透露網絡攻擊者的名稱，但(dàn)據《華盛頓郵報》報道(dào)，網絡攻擊者可(kě)能是“APT29“或“Cozy Bear”。

 

FireEye公司在日前發布的一份咨詢報告中表示：“我們已在全球多(duō)個(gè)實體(tǐ)中檢測到這一活動。受害者包括北美、歐洲、亞洲和(hé)中東地區(qū)的政府部門(mén)、咨詢機構、科技(jì)廠商、電(diàn)信公司以及礦場(chǎng)，我們預計(jì)其他國家(jiā)和(hé)垂直地區(qū)還(hái)會(huì)有(yǒu)更多(duō)受害者。我們已經通(tōng)知受到網絡攻擊影(yǐng)響的所有(yǒu)實體(tǐ)。”

 

惡意Orion的更新

 

2020年3月至2020年6月之間(jiān)發布的Orion 2019.4 HF 5至2020.2.1版本的軟件可(kě)能包含木馬程序。但(dàn)是，FireEye公司在分析報告中指出，每一次攻擊都需要網絡攻擊者精心策劃和(hé)人(rén)工交互。

 

網絡攻擊者設法修改了一個(gè)稱為(wèi)SolarWinds.Orion.Core.BusinessLayer.dll的Orion平台插件，該插件是作(zuò)為(wèi)Orion平台更新的一部分分發的。這一木馬組件經過數(shù)字簽名，并包含一個(gè)後門(mén)，可(kě)與網絡攻擊者控制(zhì)的第三方服務器(qì)進行(xíng)通(tōng)信。FireEye公司将該組件作(zuò)為(wèi)SUNBURST進行(xíng)跟蹤，并已在GitHub上(shàng)發布了開(kāi)源檢測規則。

 

FireEye公司分析師(shī)說：“在最初長達兩周的休眠期之後，它會(huì)檢索并執行(xíng)名為(wèi)‘作(zuò)業’的命令，這些(xiē)命令包括傳輸文件、執行(xíng)文件、分析系統、重新啓動機器(qì)以及禁用系統服務。這一惡意軟件将其網絡流量僞裝成Orion改進計(jì)劃(OIP)協議，并将偵察結果存儲在合法的插件配置文件中，使其能夠與合法的SolarWinds活動相融合。其後門(mén)使用多(duō)個(gè)混淆的阻止列表來(lái)識别正在運行(xíng)的取證和(hé)防病毒工具作(zuò)為(wèi)流程、服務和(hé)驅動程序。”

 

網絡攻擊者将他們的惡意軟件覆蓋率保持在很(hěn)低(dī)的水(shuǐ)平，他們更喜歡竊取并使用憑據，在網絡中執行(xíng)橫向移動并建立合法的遠程訪問。其後門(mén)用來(lái)交付一個(gè)輕量級的惡意軟件删除程序，該程序從未被發現過，并且被FireEye公司稱為(wèi)TEARDROP。這個(gè)程序直接加載到內(nèi)存中，不會(huì)在硬盤上(shàng)留下痕迹。研究人(rén)員認為(wèi)，它被用來(lái)部署定制(zhì)版的Cobalt Strike BEACON有(yǒu)效載荷。Cobalt Strike是一種商業滲透測試框架和(hé)開(kāi)發代理(lǐ)，也已被黑(hēi)客和(hé)複雜的網絡犯罪組織所采用和(hé)使用。

 

為(wèi)了避免檢測，網絡攻擊者使用臨時(shí)文件替換技(jì)術(shù)遠程執行(xíng)其工具。這意味着他們用他們的惡意工具修改了目标系統上(shàng)的合法實用程序，在執行(xíng)之後，然後用合法的工具替換了它。類似的技(jì)術(shù)包括通(tōng)過更新合法任務以執行(xíng)惡意工具，然後将任務還(hái)原為(wèi)其原始配置，從而臨時(shí)修改系統計(jì)劃的任務。

 

FireEye公司研究人(rén)員說：“防禦者可(kě)以檢查SMB會(huì)話(huà)的日志(zhì)，以顯示對合法目錄的訪問，并在很(hěn)短(duǎn)的時(shí)間(jiān)內(nèi)遵循删除、創建、執行(xíng)、創建的模式。此外，防禦者可(kě)以使用頻率分析來(lái)識别任務的異常修改，從而監視(shì)現有(yǒu)的計(jì)劃任務以進行(xíng)臨時(shí)更新。還(hái)可(kě)以監視(shì)任務以監視(shì)執行(xíng)新的或未知二進制(zhì)文件的合法任務。”

 

這是FireEye公司所觀察到的威脅參與者所展示的最好的操作(zuò)安全性，它專注于檢測規避和(hé)利用現有(yǒu)的信任關系。不過，該公司的研究人(rén)員認為(wèi)，這些(xiē)網絡攻擊可(kě)以通(tōng)過持續防禦進行(xíng)檢測，并在其咨詢報告中描述了多(duō)種檢測技(jì)術(shù)。

 

SolarWinds公司建議客戶盡快升級到Orion Platform版本2020.2.1 HF 1，以确保他們正在運行(xíng)産品的全新版本。該公司還(hái)計(jì)劃發布一個(gè)新的修補程序2020.2.1 HF 2，它将替換受感染的組件并進一步增強安全性。

 

美國國土安全部還(hái)向政府組織發布了一項緊急指令，以檢查其網絡中是否存在木馬組件并進行(xíng)報告。

 

并沒有(yǒu)有(yǒu)效的解決方案

 

對軟件供應鏈的網絡攻擊并不是什麽新事物，安全專家(jiā)多(duō)年來(lái)一直警告說，這是最難防範的威脅之一，因為(wèi)它們利用了供應商和(hé)客戶之間(jiān)的信任關系以及機器(qì)對機器(qì)的通(tōng)信渠道(dào)，例如用戶固有(yǒu)信任的軟件更新機制(zhì)。

 

早在2012年，研究人(rén)員發現Flame惡意軟件的網絡攻擊者使用了針對MD5文件哈希協議的加密攻擊，使他們的惡意軟件看起來(lái)像是由Microsoft合法簽名的，并通(tōng)過Windows Update機制(zhì)分發給目标。這并不是軟件開(kāi)發商本身(微軟公司)遭到網絡攻擊，但(dàn)是網絡攻擊者利用了Windows Update文件檢查中的漏洞，證明(míng)可(kě)以充分利用軟件更新機制(zhì)。

 

2017年，卡巴斯基實驗室的安全研究人(rén)員發現了一個(gè)名為(wèi)Winnti的APT組織的軟件供應鏈攻擊，該攻擊涉及侵入制(zhì)造服務器(qì)管理(lǐ)軟件提供商NetSarang公司的基礎設施，該軟件允許他們分發産品的木馬版本。采用NetSarang公司合法證書(shū)實施數(shù)字簽名。後來(lái)，這些(xiē)網絡攻擊者入侵了Avast子公司CCleaner的開(kāi)發基礎設施，并向220多(duō)萬用戶分發了該程序的木馬版本。去年，網絡攻擊者劫持了計(jì)算(suàn)機制(zhì)造商ASUSTeK Computer的更新基礎設施，并向用戶分發了ASUS Live Update Utility的惡意版本。

 

安全咨詢機構TrustedSec公司創始人(rén)David Kennedy說，“從威脅建模的角度來(lái)看，我不知道(dào)有(yǒu)任何組織将供應鏈攻擊整合到他們的環境中。當查看SolarWinds的情況時(shí)，這是一個(gè)很(hěn)好的例子，表明(míng)網絡攻擊者可(kě)以選擇已部署産品的任何目标，而這些(xiē)目标是世界各地的許多(duō)公司，并且大(dà)多(duō)數(shù)組織都無法檢測和(hé)預防。”

 

雖然部署在組織中的軟件可(kě)能會(huì)經過安全審查，以了解開(kāi)發人(rén)員是否具有(yǒu)良好的安全實踐，以修補可(kě)能被利用的産品漏洞，但(dàn)組織不會(huì)考慮如果其更新機制(zhì)受到影(yǐng)響，該軟件将如何影(yǐng)響其基礎設施。Kennedy說，“我們在這方面還(hái)很(hěn)不成熟，而且也沒有(yǒu)簡單有(yǒu)效的解決方案，因為(wèi)很(hěn)多(duō)組織需要軟件來(lái)運行(xíng)他們的工作(zuò)負載，他們需要采用新技(jì)術(shù)來(lái)擴大(dà)存在并保持競争力，而提供軟件的組織卻沒有(yǒu)将其視(shì)為(wèi)威脅模型。”

 

Kennedy認為(wèi)，首先應該從軟件開(kāi)發人(rén)員開(kāi)始，并更多(duō)地考慮如何始終保護其代碼完整性，同時(shí)還(hái)要考慮如何在設計(jì)産品時(shí)盡量降低(dī)風險。

 

他說：“很(hěn)多(duō)時(shí)候，當組織在構建軟件時(shí)，将會(huì)構建一個(gè)由外而內(nèi)的威脅模型，但(dàn)并非總是從內(nèi)而外地考慮。這是很(hěn)多(duō)人(rén)需要關注的領域：如何設計(jì)架構和(hé)基礎設施使其更能抵禦這些(xiē)類型的攻擊?是否有(yǒu)辦法通(tōng)過最小(xiǎo)化産品架構中的基礎設施來(lái)阻止許多(duō)這樣的攻擊?例如，把SolarWinds公司Orion保留在自己的孤島中，這樣就可(kě)以使通(tōng)信正常工作(zuò)，但(dàn)僅此而已。一般來(lái)說，良好的安全實施是為(wèi)對手創造盡可(kě)能多(duō)的複雜性，這樣即使他們成功了，而且正在運行(xíng)的代碼也遭到了破壞，網絡攻擊者也很(hěn)難實現他們的目标。”

 

作(zuò)為(wèi)軟件公司，也應該開(kāi)始考慮将零信任網絡原則和(hé)基于角色的訪問控制(zhì)不僅應用于用戶，還(hái)應用于應用程序和(hé)服務器(qì)。正如并非每個(gè)用戶或設備都能夠訪問網絡上(shàng)的任何應用程序或服務器(qì)一樣，并不是每個(gè)服務器(qì)或應用程序都能夠與網絡上(shàng)的其他服務器(qì)和(hé)應用程序進行(xíng)通(tōng)信。在将新軟件或技(jì)術(shù)部署到他們的網絡中時(shí)，組織應該問自己：如果該産品由于惡意更新而受到威脅将會(huì)發生(shēng)什麽情況?他們需要嘗試采取控制(zhì)措施，以盡可(kě)能減少(shǎo)影(yǐng)響。

 

對于軟件供應鏈的網絡攻擊的數(shù)量在未來(lái)可(kě)能會(huì)增加，尤其是在其他網絡攻擊者看到其成功和(hé)廣泛性時(shí)。在2017年遭遇WannaCry和(hé)NotPetya網絡攻擊之後，針對組織的勒索軟件攻擊數(shù)量激增，因為(wèi)它們向網絡攻擊者表明(míng)其網絡的抵抗力不如他們認為(wèi)的那(nà)樣。從那(nà)以後，許多(duō)網絡犯罪組織采用了先進的技(jì)術(shù)。

 

勒索軟件組織也了解利用供應鏈的價值，并已開(kāi)始攻擊托管服務提供商，以利用其對客戶網絡的訪問權。NotPetya本身有(yǒu)一個(gè)供應鏈組件，因為(wèi)勒索軟件蠕蟲最初是通(tōng)過稱為(wèi)M.E.Doc的計(jì)費軟件的後門(mén)軟件更新服務器(qì)啓動的，該計(jì)費軟件在東歐國家(jiā)很(hěn)流行(xíng)。

 

Kennedy表示，黑(hēi)客組織将這次襲擊視(shì)為(wèi)一次非常成功的網絡攻擊。從勒索軟件的角度來(lái)看，他們同時(shí)攻擊安裝了SolarWinds Orion平台的所有(yǒu)組織。他說，“黑(hēi)客可(kě)能知道(dào)，對于這種類型的網絡攻擊，需要提高(gāo)複雜性，但(dàn)是考慮到從勒索軟件團體(tǐ)中看到的進步以及他們投入的資金，這并不是一件容易的事。但(dàn)我認為(wèi)以後還(hái)會(huì)看出現這種情況。”

 

轉自企業網d1net/Lucian Constantin