根據行業媒體的報導,一個名為「Cozy Bear」的黑客組織日前對IT管理軟體開發商SolarWinds公司的Orion軟體進行了破壞性的網絡攻擊,從而獲得了進入美國政府部門和其他組織IT系統的權限。而大多數部門和組織並沒有為這種對軟體供應鏈的網絡攻擊做好準備。
黑客組織最近對大型網絡安全機構FireEye公司的入侵是一次規模更大的網絡攻擊,該攻擊是通過對主流網絡監控產品進行惡意更新而實施的,並對一些政府機構和企業造成了影響。該事件凸顯了對軟體供應鏈網絡攻擊可能造成的嚴重影響,而大多數組織都沒有為預防和檢測此類威脅做好準備。
今年3月,一個黑客組織在一次網絡攻擊中獲得了訪問多個美國政府部門(其中包括美國財政部和美國商務部)伺服器系統的權限。這一事件導致美國國家安全委員會當時立即召開緊急會議商議應對和解決。
黑客組織「Cozy Bear」的網絡攻擊破壞了SolarWinds公司開發的名為「Orion「的網絡和應用程式監視平臺,然後使用這一訪問權限來生成木馬並將其分發給軟體用戶。在這一消息傳出之後,SolarWinds公司在其網站上的一個頁面宣稱,其客戶包括美國財富500強中的425家廠商、美國十大電信公司、美國五大會計師事務所、美國軍方所有分支機構、五角大樓、美國國務院,以及全球數百所大學和學院。
對SolarWinds公司的軟體供應鏈進行攻擊還使黑客能夠訪問美國網絡安全服務商FireEye公司的網絡,這一漏洞於日前宣布,儘管FireEye公司沒有透露網絡攻擊者的名稱,但據《華盛頓郵報》報導,網絡攻擊者可能是「APT29「或「Cozy Bear」。
FireEye公司在日前發布的一份諮詢報告中表示:「我們已在全球多個實體中檢測到這一活動。受害者包括北美、歐洲、亞洲和中東地區的政府部門、諮詢機構、科技廠商、電信公司以及礦場,我們預計其他國家和垂直地區還會有更多受害者。我們已經通知受到網絡攻擊影響的所有實體。」
惡意Orion的更新
2020年3月至2020年6月之間發布的Orion 2019.4 HF 5至2020.2.1版本的軟體可能包含木馬程序。但是,FireEye公司在分析報告中指出,每一次攻擊都需要網絡攻擊者精心策劃和人工交互。
網絡攻擊者設法修改了一個稱為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件,該插件是作為Orion平臺更新的一部分分發的。這一木馬組件經過數字籤名,並包含一個後門,可與網絡攻擊者控制的第三方伺服器進行通信。FireEye公司將該組件作為SUNBURST進行跟蹤,並已在GitHub上發布了開源檢測規則。
FireEye公司分析師說:「在最初長達兩周的休眠期之後,它會檢索並執行名為『作業』的命令,這些命令包括傳輸文件、執行文件、分析系統、重新啟動機器以及禁用系統服務。這一惡意軟體將其網絡流量偽裝成Orion改進計劃(OIP)協議,並將偵察結果存儲在合法的插件配置文件中,使其能夠與合法的SolarWinds活動相融合。其後門使用多個混淆的阻止列表來識別正在運行的取證和防病毒工具作為流程、服務和驅動程序。」
網絡攻擊者將他們的惡意軟體覆蓋率保持在很低的水平,他們更喜歡竊取並使用憑據,在網絡中執行橫向移動並建立合法的遠程訪問。其後門用來交付一個輕量級的惡意軟體刪除程序,該程序從未被發現過,並且被FireEye公司稱為TEARDROP。這個程序直接加載到內存中,不會在硬碟上留下痕跡。研究人員認為,它被用來部署定製版的Cobalt Strike BEACON有效載荷。Cobalt Strike是一種商業滲透測試框架和開發代理,也已被黑客和複雜的網絡犯罪組織所採用和使用。
為了避免檢測,網絡攻擊者使用臨時文件替換技術遠程執行其工具。這意味著他們用他們的惡意工具修改了目標系統上的合法實用程序,在執行之後,然後用合法的工具替換了它。類似的技術包括通過更新合法任務以執行惡意工具,然後將任務還原為其原始配置,從而臨時修改系統計劃的任務。
FireEye公司研究人員說:「防禦者可以檢查SMB會話的日誌,以顯示對合法目錄的訪問,並在很短的時間內遵循刪除、創建、執行、創建的模式。此外,防禦者可以使用頻率分析來識別任務的異常修改,從而監視現有的計劃任務以進行臨時更新。還可以監視任務以監視執行新的或未知二進位文件的合法任務。」
這是FireEye公司所觀察到的威脅參與者所展示的最好的操作安全性,它專注於檢測規避和利用現有的信任關係。不過,該公司的研究人員認為,這些網絡攻擊可以通過持續防禦進行檢測,並在其諮詢報告中描述了多種檢測技術。
SolarWinds公司建議客戶儘快升級到Orion Platform版本2020.2.1 HF 1,以確保他們正在運行產品的全新版本。該公司還計劃發布一個新的修補程序2020.2.1 HF 2,它將替換受感染的組件並進一步增強安全性。
美國國土安全部還向政府組織發布了一項緊急指令,以檢查其網絡中是否存在木馬組件並進行報告。
並沒有有效的解決方案
對軟體供應鏈的網絡攻擊並不是什麼新事物,安全專家多年來一直警告說,這是最難防範的威脅之一,因為它們利用了供應商和客戶之間的信任關係以及機器對機器的通信渠道,例如用戶固有信任的軟體更新機制。
早在2012年,研究人員發現Flame惡意軟體的網絡攻擊者使用了針對MD5文件哈希協議的加密攻擊,使他們的惡意軟體看起來像是由Microsoft合法籤名的,並通過Windows Update機制分發給目標。這並不是軟體開發商本身(微軟公司)遭到網絡攻擊,但是網絡攻擊者利用了Windows Update文件檢查中的漏洞,證明可以充分利用軟體更新機制。
2017年,卡巴斯基實驗室的安全研究人員發現了一個名為Winnti的APT組織的軟體供應鏈攻擊,該攻擊涉及侵入製造伺服器管理軟體提供商NetSarang公司的基礎設施,該軟體允許他們分發產品的木馬版本。採用NetSarang公司合法證書實施數字籤名。後來,這些網絡攻擊者入侵了Avast子公司CCleaner的開發基礎設施,並向220多萬用戶分發了該程序的木馬版本。去年,網絡攻擊者劫持了計算機製造商ASUSTeK Computer的更新基礎設施,並向用戶分發了ASUS Live Update Utility的惡意版本。
安全諮詢機構TrustedSec公司創始人David Kennedy說,「從威脅建模的角度來看,我不知道有任何組織將供應鏈攻擊整合到他們的環境中。當查看SolarWinds的情況時,這是一個很好的例子,表明網絡攻擊者可以選擇已部署產品的任何目標,而這些目標是世界各地的許多公司,並且大多數組織都無法檢測和預防。」
雖然部署在組織中的軟體可能會經過安全審查,以了解開發人員是否具有良好的安全實踐,以修補可能被利用的產品漏洞,但組織不會考慮如果其更新機制受到影響,該軟體將如何影響其基礎設施。Kennedy說,「我們在這方面還很不成熟,而且也沒有簡單有效的解決方案,因為很多組織需要軟體來運行他們的工作負載,他們需要採用新技術來擴大存在並保持競爭力,而提供軟體的組織卻沒有將其視為威脅模型。」
Kennedy認為,首先應該從軟體開發人員開始,並更多地考慮如何始終保護其代碼完整性,同時還要考慮如何在設計產品時儘量降低風險。
他說:「很多時候,當組織在構建軟體時,將會構建一個由外而內的威脅模型,但並非總是從內而外地考慮。這是很多人需要關注的領域:如何設計架構和基礎設施使其更能抵禦這些類型的攻擊?是否有辦法通過最小化產品架構中的基礎設施來阻止許多這樣的攻擊?例如,把SolarWinds公司Orion保留在自己的孤島中,這樣就可以使通信正常工作,但僅此而已。一般來說,良好的安全實施是為對手創造儘可能多的複雜性,這樣即使他們成功了,而且正在運行的代碼也遭到了破壞,網絡攻擊者也很難實現他們的目標。」
作為軟體公司,也應該開始考慮將零信任網絡原則和基於角色的訪問控制不僅應用於用戶,還應用於應用程式和伺服器。正如並非每個用戶或設備都能夠訪問網絡上的任何應用程式或伺服器一樣,並不是每個伺服器或應用程式都能夠與網絡上的其他伺服器和應用程式進行通信。在將新軟體或技術部署到他們的網絡中時,組織應該問自己:如果該產品由於惡意更新而受到威脅將會發生什麼情況?他們需要嘗試採取控制措施,以儘可能減少影響。
對於軟體供應鏈的網絡攻擊的數量在未來可能會增加,尤其是在其他網絡攻擊者看到其成功和廣泛性時。在2017年遭遇WannaCry和NotPetya網絡攻擊之後,針對組織的勒索軟體攻擊數量激增,因為它們向網絡攻擊者表明其網絡的抵抗力不如他們認為的那樣。從那以後,許多網絡犯罪組織採用了先進的技術。
勒索軟體組織也了解利用供應鏈的價值,並已開始攻擊託管服務提供商,以利用其對客戶網絡的訪問權。NotPetya本身有一個供應鏈組件,因為勒索軟體蠕蟲最初是通過稱為M.E.Doc的計費軟體的後門軟體更新伺服器啟動的,該計費軟體在東歐國家很流行。
Kennedy表示,黑客組織將這次襲擊視為一次非常成功的網絡攻擊。從勒索軟體的角度來看,他們同時攻擊安裝了SolarWinds Orion平臺的所有組織。他說,「黑客可能知道,對於這種類型的網絡攻擊,需要提高複雜性,但是考慮到從勒索軟體團體中看到的進步以及他們投入的資金,這並不是一件容易的事。但我認為以後還會看出現這種情況。」
【責任編輯:
趙寧寧TEL:(010)68476606】