有消息報道,俄羅斯Cozy Bear團體通過破壞SolarWinds公司旗下的Orion軟件更新,獲得了對政府和其他系統的訪問權限。大多數組織并沒有為應對這種軟件供應鏈攻擊做好準備。
前段時間民族國家黑客(nation-state hackers)對大型網絡安全公司FireEye發起的入侵,屬于一場大規模攻擊的一部分,該攻擊通過對一款流行的網絡監控產品進行惡意更新,影響了主要的政府機構和公司。本次事件被稱作是網絡領域的“珍珠港”事件,凸顯了軟件供應鏈攻擊可能產生的嚴重影響,以及大多數組織在預防和檢測此類威脅方面準備不足的不幸事實。
據信,一個與俄羅斯政府有關聯的黑客組織在一場始于2020年3月的長期活動中,獲得了包括美國財政部和商務部在內的多個美國政府部門的電腦系統權限。這一消息促使美國國家安全委員會于周六召開緊急會議。
在此次攻擊中,黑客入侵了SolarWinds公司(該公司生產一種名為Orion的網絡和應用監控平臺)的基礎設施,然后利用這一權限制作并向軟件用戶分發含有木馬的更新程序。在消息傳出后被撤下的網站頁面上,SolarWinds表示,其客戶包括美國財富500強中的425家、美國十大電信公司、美國五大會計師事務所、美國軍方所有部門、五角大樓、國務院以及全球數百所大學和學院。
SolarWinds軟件供應鏈攻擊還使黑客進入了美國網絡安全公司FireEye的網絡,這起入侵事件已于上周官宣。盡管FireEye沒有指明具體的攻擊組織,但《華盛頓郵報》報道稱,該組織是俄羅斯對外情報局SVR的黑客部門——APT29或稱Cozy Bear。
“FireEye已經在全球多個實體中檢測到這一攻擊活動,”該公司在一份咨詢報告中表示,“受害者包括北美,歐洲,亞洲和中東的政府、咨詢、科技、電信和采礦業實體。我們預計在其他國家和垂直行業還有更多的受害者。FireEye已經通知了所有已知受影響的實體。”
01 惡意的Orion更新
2020年3月至2020年6月期間發布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能含有木馬組件。然而,FireEye在其分析中指出,每一次攻擊行為都需要攻擊者精心策劃和手動交互。
攻擊者設法篡改了一個名為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件,該插件作為Orion平臺更新的一部分被分發。該木馬組件經過數字簽名,并包含一個后門,可以與攻擊者控制的第三方服務器通信的。FireEye將該組件命名為SUNBURST進行追蹤,并在GitHub上發布了該組件的開源檢測規則。
“在長達兩周的初始休眠期之后,它會檢索并執行名為‘Jobs’的命令,該命令具有傳輸文件、執行文件、配置系統、重啟機器和禁用系統服務等能力,”FireEye分析師說,
“該惡意軟件將其網絡流量偽裝成Orion改進計劃(OIP)協議,并將偵察結果保存在合法的插件配置文件中,使其能夠隱匿于合法的SolarWinds活動中。該后門使用多個混淆的黑名單列表來識別以進程、服務和驅動程序等方式運行的取證和反病毒工具。”
攻擊者盡可能讓惡意軟件匿影藏形,他們更傾向于使用竊取來的憑證在網絡中進行橫向移動,并開放合法的遠程訪問權限。后門被用來傳送一個前所未見的輕量級惡意軟件dropper, FireEye將其稱為TEARDROP。該dropper直接在內存中加載,不會在磁盤上留下痕跡。
研究人員認為,它被用來部署定制版的Cobalt Strike BEACON 載荷。Cobalt Strike是一種為紅隊設計的商業滲透測試框架和后攻擊代理程序,也受到黑客和老練的網絡犯罪集團青睞。
為了規避檢測,攻擊者使用臨時文件替換技術來遠程執行他們的工具。這意味著他們用自己的惡意工具修改了目標系統上的合法工具,執行它,然后用替換回合法工具。類似的技術還包括臨時修改系統計劃任務,方法是更新一個合法任務來執行一個惡意工具,然后將任務恢復回原來的配置。
“防御者可以檢查顯示訪問合法目錄的SMB會話日志,查找短時間內遵循”刪除-創建-執行-刪除-創建“模式的日志,”FireEye研究人員說,“此外,防御者還可以通過頻率分析來識別任務的異常修改,從而監控現有計劃任務的臨時更新。還可以監控任務本身,觀察是否有合法的Windows任務執行新增或未知的二進制文件。”
該攻擊者專注于規避檢測,并利用已有的信任關系,在FireEye所觀察到的所有威脅者展現出的操作安全性中鶴立雞群。然而,該公司的研究人員認為,這些攻擊可以通過持續防御來檢測,并在其咨詢報告中介紹了多種檢測技術。
SolarWinds建議客戶盡快升級到Orion Platform 2020.2.1 HF 1版本,以確保他們運行的是無害版本的產品。該公司還計劃在發布一個新的熱補丁2020.2.1 HF 2,該補丁將替換受損組件,并進行額外的安全增強。
美國國土安全部也已經發出緊急指令,要求政府機構檢查自己的網絡是否存在木馬組件,并進行匯報。
02 難尋的解決方案
軟件供應鏈攻擊并不是一個新生事物,安全專家多年來一直警告說它們是最難防范的威脅類型,因為它們利用了供應商和客戶之間的信任關系,以及機器與機器之間的通信渠道(如軟件更新機制),而這些渠道本身就受到用戶信賴。
早在2012年,研究人員就發現,網絡間諜惡意軟件Flame背后的攻擊者利用一種針對MD5文件散列協議的密碼學攻擊,使他們的惡意軟件看起來好像是由微軟合法簽署的,并通過Windows更新機制向目標分發。這并不是軟件開發商微軟本身受到攻擊,而是攻擊者利用了Windows Update文件檢查中的一個漏洞,表明軟件更新機制可以為虎作倀。
2017年,卡巴斯基實驗室的安全研究人員發現了一個APT組織(被稱為Winnti)的軟件供應鏈攻擊,該攻擊入侵了NetSarang公司的基礎設施。而NetSarang公司是一家生產服務器管理軟件的公司,這使得攻擊者能夠分發帶有該公司合法證書數字簽名的含有木馬的產品。同一批攻擊者后來又侵入了Avast子公司CCleaner的開發基礎設施,并向超過220萬用戶分發了含有木馬的程序。去年,攻擊者劫持了電腦制造商ASUSTeK Computer的更新基礎設施,并向用戶分發了惡意版本的ASUS Live Update Utility。
“據我所知沒有任何組織已將供應鏈攻擊納入威脅建模中,”前NSA黑客、安全咨詢公司TrustedSec的創始人David Kennedy告訴CSO。“說到SolarWinds發生的事情,這是一個典型的例子,攻擊者可以從字面意義上”選取“任意部署了其產品的目標,而這些目標是許多來自全球各地的公司,且從檢測和預防的角度來看大多數組織并沒有能力做出響應。這不該是當今安全領域發生的討論。”
雖然部署在組織中的軟件可能會進行安全審查,以了解其開發人員在修補可能被利用的產品漏洞方面是否具備良好的安全實踐。但組織并沒有考慮到如果其更新機制被破壞,該軟件會如何影響其基礎設施,肯尼迪說道。“關于這點我們還不夠成熟,也不存在一勞永逸的解決方案,因為公司需要軟件來維持他們組織的運行,他們需要技術來擴大影響力并保持競爭力,但提供這些軟件的組織卻沒有把這個作為威脅模型來考慮。”
肯尼迪認為,首先軟件開發人員應該深入考慮如何始終保護其代碼的完整性,同時還需要考慮如何在設計產品時將客戶面臨的風險降到最低。
“通常在構建軟件時,你會從外向內考慮威脅模型,而不是由內而外,”肯尼迪說,“這是很多人都需要關注的領域:如何設計我們的架構基礎設施以對此類攻擊更具抵抗力?我們是否有辦法通過最大限度地減少[產品]架構中的基礎設施來阻止諸多此類攻擊?例如,將 SolarWinds Orion限制在獨立的環境中,僅開放其正常運行所需的通信流量。一般來說,為對手帶來盡可能多的麻煩是一種很好的安全實踐,這樣即使他們成功攻陷了你正在運行的代碼,他們也很難達到他們想要的目的。”
企業作為軟件的使用者,也應當開始考慮不僅僅將零信任網絡原則和基于角色的訪問控制應用于用戶,還應當應用于應用程序和服務器。正如不是每個用戶或設備都應該能夠訪問網絡上的任意應用程序或服務器一樣,不是每個服務器或應用程序都應該能夠與網絡上的其他服務器和應用程序進行通信。在將任何新的軟件或技術部署到網絡中時,公司應該捫心自問如果該產品由于惡意更新而導致失陷的后果將會如何,并嘗試將控制措施落實到位,以盡可能降低影響。
未來軟件供應鏈攻擊的數量很可能會持續增加,尤其是該類攻擊的成功性和廣泛性有目共睹。在2017年的WannaCry和NotPetya攻擊之后,針對組織的勒索軟件攻擊數量爆炸性增長,因為它們向攻擊者表明,企業網絡并不像他們認為的那樣具有抵抗此類攻擊的彈性。從那時起,許多網絡犯罪團伙開始采用先進的技術,使他們可以與民族國家的網絡間諜行為者比肩。
勒索軟件團伙也已經明白利用供應鏈的價值,并開始入侵托管服務提供商,利用漏洞接入到客戶的網絡。NotPetya本身就含有供應鏈成分,因為該勒索蠕蟲最初是通過一款流行于東歐名為M.E.Doc的會計軟件中含有后門的軟件更新服務器發起的。
有組織的犯罪團伙和其他民族國家集團現在都將這次攻擊視為“哇,真是一次非常成功的行動,”肯尼迪說。從勒索軟件的角度來看,如果同時攻擊所有安裝了SolarWinds Orion的組織,他們原本可以加密世界上絕大部分基礎設施,并賺取足以金盆洗手的資金。“他們或許明白,倘若要進行上述這種攻擊,他們的精細化程度還有待提高。但考慮到勒索軟件組織有目共睹的進步以及他們在開發上投入的巨額資金,這種攻擊并不會很遙遠。所以我堅信我們會親眼見證其他類型的團體也將發動此類攻擊,而不僅僅是民族國家集團。”