SolarWinds供应链攻击事件带来的启示
SolarWinds供應(yīng)鏈攻擊事件帶來的啟示
- 一、概述
- 二、事件分析
- 1、SUNBURST后門
- 2、深入惡意軟件分析
- 傳播和安裝
- 初始化
- DGA和阻止列表
- 網(wǎng)絡(luò)命令和控制(C2)
- 支持的命令
- 3、行為分析和防御
- TEARDROP和BEACON惡意軟件
- 環(huán)境偽裝
- 受害者國(guó)家/地區(qū)的IP地址
- 橫向移動(dòng)
- 臨時(shí)文件替換和臨時(shí)任務(wù)修改
- 4、解決辦法
- 三、啟示
一、概述
2020年12月13日,美國(guó)網(wǎng)絡(luò)安全公司FireEye發(fā)布分析報(bào)告稱,SolarWinds旗下的Orion基礎(chǔ)設(shè)施管理平臺(tái)的發(fā)布環(huán)境遭到黑客組織UNC2452入侵,黑客對(duì)文件SolarWinds.Orion.Core.BusinessLayer.dll的源碼進(jìn)行篡改添加了后門代碼,該文件具有合法數(shù)字簽名會(huì)伴隨軟件更新下發(fā),這些后門會(huì)執(zhí)行命令,包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重啟設(shè)備和禁用系統(tǒng)服務(wù)的功能。這項(xiàng)攻擊可能早在2020年年初就開始了。
FireEye稱已在全球多個(gè)地區(qū)檢測(cè)到攻擊活動(dòng),包括北美、歐洲、亞洲和中東的一些政府、咨詢、技術(shù)公司。SolarWinds已在其官方網(wǎng)站發(fā)布安全公告,公布受影響版本為2019.4 HF 5 - 2020.2.1,并提示用戶升級(jí)至2020.2.1 HF 1版本。
SolarWinds公司創(chuàng)辦于1999年,主要生產(chǎn)銷售網(wǎng)絡(luò)和系統(tǒng)監(jiān)測(cè)管理類的軟件產(chǎn)品,為全球30萬家客戶服務(wù),覆蓋了政府、軍事、教育等大量重要機(jī)構(gòu)和超過9成的世界500強(qiáng)企業(yè)。Solarwinds Orion是一款功能強(qiáng)大的網(wǎng)絡(luò)性能監(jiān)控程序。
二、事件分析
1、SUNBURST后門
通過HTTP與第三方服務(wù)器進(jìn)行通信,此SolarWinds Orion插件的木馬版本叫SUNBURST。
后門安裝后它會(huì)檢索并執(zhí)行稱為“作業(yè)(Jobs)”的命令,這些命令包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重啟設(shè)備和禁用系統(tǒng)服務(wù)的功能。該惡意程序?qū)⑵渚W(wǎng)絡(luò)流量偽裝成 Orion Improvement Program (OIP) 協(xié)議,并將監(jiān)控結(jié)果存儲(chǔ)在合法的插件配置文件中,允許其融入合法的SolarWinds活動(dòng)。后門使用了多種偽裝技術(shù)來逃避殺毒軟件等檢測(cè)工具。
從2020年3月到5月,多個(gè)更新文件被植入了木馬,并用數(shù)字簽名進(jìn)行了簽名,發(fā)布到SolarWinds更新網(wǎng)站上,一旦安裝了更新文件,惡意的DLL將被合法的solarWind可執(zhí)行文件SolarWind.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決于系統(tǒng)配置)加載。
長(zhǎng)達(dá)兩周的休眠期后,該惡意軟件將試圖解析avsvmcloud[.]com的一個(gè)域名。該域名返回一條CNAME記錄,里面包含命令和控制記錄(Command and Control 簡(jiǎn)稱C2)。惡意通信被設(shè)計(jì)成模擬正常的SolarWinds API通信。在獲得最初的訪問權(quán)限之后,黑客使用各種技術(shù)來掩飾他們的操作,同時(shí)他們也在橫向移動(dòng)(圖2)。他們很少用非法的命令和操作,而更喜歡用合法的憑證和遠(yuǎn)程訪問來訪問受害者的環(huán)境。
2、深入惡意軟件分析
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架中由SolarWinds簽名的插件組件,其中包含經(jīng)過混淆的后門,該后門通過HTTP與第三方服務(wù)器進(jìn)行通信。這個(gè)后門的主要特性如下:
- 執(zhí)行子域域名生成算法(DGA)來改變DNS請(qǐng)求;
- CNAME響應(yīng)指向惡意軟件要連接到的惡意域名;
- 通過代理服務(wù)器地址逃避工具對(duì)惡意軟件的檢測(cè)行為;
- 指揮和控制合法的“計(jì)劃任務(wù)”;
- 代碼通過使用偽裝的變量名和綁定合法組件來隱藏身份。
傳播和安裝
經(jīng)過系統(tǒng)管理員配置SolarWinds網(wǎng)站的更新程序來進(jìn)行下載和傳播,該更新程序做了合法的簽名,該文件最早簽署于2020年3月24日。
初始化
當(dāng)被感染了木馬的更新程序更新后的12到14天后,才會(huì)執(zhí)行該木馬程序;確切的閾值是從一個(gè)間隔中隨機(jī)選擇的。最初執(zhí)行Initialize初始化方法,然后進(jìn)行復(fù)雜的計(jì)算得到一個(gè)哈希值,此哈希與名為businesslayerhost.exe的進(jìn)程匹配。從磁盤讀取并檢索XML字段appSettings之前,程序?qū)?chuàng)建執(zhí)行一個(gè)管道來作為守護(hù)進(jìn)程。惡意代碼將修改appSettings的值,重新進(jìn)行持久化。然后檢查計(jì)算機(jī)是否加入域,然后通過一個(gè)復(fù)雜的算法生成一個(gè)用戶id,然后從config中讀取appSettings的ReportWatcherPostpone鍵來查找初始合法值。木馬最后調(diào)用方法Update完成初始化工作。
DGA和阻止列表
后門使用域生成算法(DGA)確定其控制服務(wù)器,以構(gòu)造和解析avsvmcloud[.]com的子域名。Update方法負(fù)責(zé)初始化生成這些隨機(jī)控制子域的密碼,這些子域與以下內(nèi)容之一串聯(lián),以創(chuàng)建要解析的主機(jī)名:
- appsync-api.eu-west-1[.]avsvmcloud[.]com
- appsync-api.us-west-2[.]avsvmcloud[.]com
- appsync-api.us-east-1[.]avsvmcloud[.]com
- appsync-api.us-east-2[.]avsvmcloud[.]com
下一步獲得本機(jī)的進(jìn)程名稱、服務(wù)名稱和驅(qū)動(dòng)程序的路徑列表,并通過算法對(duì)每個(gè)值進(jìn)行哈希處理,并對(duì)照事先定義硬編碼進(jìn)行檢查。如果找到了正在運(yùn)行的進(jìn)程在列表中,則更新進(jìn)程將退出,然后木馬將繼續(xù)嘗試執(zhí)行其他方式,直到執(zhí)行通過為止。然后通過注冊(cè)表設(shè)置禁止啟動(dòng)殺毒軟件啟動(dòng)。如果在系統(tǒng)中找到安裝的軟件,則可能會(huì)影響DGA算法在生成的值方面的行為。如果有任何服務(wù)被轉(zhuǎn)換為禁用,則Update方法將退出并稍后重試。如果所有的列表測(cè)試都通過了,則示例嘗試解析http://api.solarwins.com來測(cè)試網(wǎng)絡(luò)的連接性。
網(wǎng)絡(luò)命令和控制(C2)
如果所有阻止列表和連接性檢查均通過,則樣本將通過其DGA在while循環(huán)中開始生成域。樣本將延遲生成域之間的間隔時(shí)間,時(shí)間是隨機(jī)的;此時(shí)間間隔可以是1到3分鐘,30到120分鐘或在錯(cuò)誤條件下最長(zhǎng)420到540分鐘(9小時(shí))范圍內(nèi)的任意隨機(jī)值。生成域的DNS A記錄根據(jù)控制惡意軟件行為的IP地址的硬編碼范圍列表進(jìn)行檢查。以下范圍內(nèi)的記錄將終止惡意軟件,并更新ReportWatcherRetry 配置,防止下次進(jìn)行執(zhí)行:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 224.0.0.0/3
- fc00:: - fe00:: fec0::
- ffc0:: ff00:: - ff00::
- 20.140.0.0/15
- 96.31.172.0/24
- 131.228.12.0/22
- 144.86.226.0/24
一旦在CNAME DNS響應(yīng)中成功檢索到一個(gè)域,該樣本將通過調(diào)用HttpHelper.Initialize方法產(chǎn)生一個(gè)新的執(zhí)行線程,該線程負(fù)責(zé)通信和調(diào)度。HTTP線程通過SetTime命令控制配置的時(shí)間開始。HTTP線程將在調(diào)用之間至少延遲1分鐘。惡意軟件在請(qǐng)求數(shù)據(jù)時(shí)使用HTTP GET或HEAD請(qǐng)求,在命令輸出數(shù)據(jù)發(fā)送到服務(wù)器時(shí)使用HTTP PUT或HTTP POST請(qǐng)求。當(dāng)請(qǐng)求內(nèi)容小于10000字節(jié)時(shí)使用PUT方法;否則使用POST方法。If-None-Match HTTP報(bào)頭包含先前計(jì)算的userID的XOR編碼表示,并附加一個(gè)長(zhǎng)度相同的隨機(jī)字節(jié)數(shù)組。
所有HTTP POST和PUT請(qǐng)求都包含一個(gè)JSON包,并且包含 “userId”,“sessionId”和“steps”項(xiàng)。“steps”字段包含具有以下鍵的對(duì)象列表:“Timestamp”、“Index”、“EventType”、“EventName”、“DurationMs”、“Succeeded”和“Message”。發(fā)送到服務(wù)器的惡意軟件響應(yīng)消息經(jīng)過壓縮和單字節(jié)異或編碼,然后在“steps”數(shù)組中的“Message”字段中分割。每個(gè)“Message”值都是Base64單獨(dú)編碼的。并非“steps”數(shù)組中的所有對(duì)象都會(huì)導(dǎo)致惡意軟件消息,“Timestamp”字段中的整數(shù)必須設(shè)置為0x2位,以確定惡意軟件消息中使用了“message”字段的內(nèi)容。時(shí)間戳字段中位0x2為空的Step對(duì)象包含隨機(jī)數(shù)據(jù),在組裝惡意軟件響應(yīng)時(shí)被丟棄。
在觀察到的惡意流量中,這些HTTP響應(yīng)試圖進(jìn)行偽裝,他們看起來像與.NET程序集相關(guān)的XML,但是命令數(shù)據(jù)實(shí)際上分布在許多GUID和HEX字符串中。通過使用以下正則表達(dá)式搜索HEX字符串,可以從HTTP響應(yīng)主體中提取命令"{[0-9a-f-]}"|"[0-9a-f]"|"[0-9a-f]"。命令數(shù)據(jù)分布在多個(gè)字符串中,這些字符串偽裝成GUID和HEX字符串。響應(yīng)中的所有匹配子字符串都將針對(duì)非HEX字符進(jìn)行過濾,合并在一起并進(jìn)行HEX解碼。第一個(gè)DWORD值顯示消息的實(shí)際大小,緊隨其后的是消息,其后是可選的其他垃圾字節(jié)。使用消息的第一個(gè)字節(jié)對(duì)提取的消息進(jìn)行單字節(jié)XOR解碼,然后對(duì)其進(jìn)行DEFLATE解壓縮。第一個(gè)字符是ASCII整數(shù),它映射到JobEngine枚舉,并帶有由空格字符分隔的可選附加命令參數(shù)。
然后根據(jù)命令值將命令發(fā)送到JobExecutionEngine,如下所述。
支持的命令
可以通過MITRE ATT&CK技術(shù)進(jìn)行對(duì)應(yīng)檢查:
3、行為分析和防御
TEARDROP和BEACON惡意軟件
在得到的多個(gè)樣本中,發(fā)現(xiàn)了不同的手法,在最新的一個(gè)樣本中發(fā)現(xiàn)了以前沒有遇到過的只在內(nèi)存中運(yùn)行的程序,我們叫TEARDROP,運(yùn)行在Cobalt Strike BEACON中。TEARDROP是一個(gè)只在內(nèi)存中運(yùn)行的一個(gè)程序,它生成一個(gè)線程,并讀“gracious_truth.jpg”文件,該文件可能是一個(gè)偽裝的JPG頭文件。接下來,它檢查HKU\SOFTWARE\Microsoft\CTF是否存在,使用自定義循環(huán)XOR算法進(jìn)行解碼,然后使用類似于PE的自定義文件格式將嵌入代碼加載到內(nèi)存中。TEARDROP的代碼是一種新型代碼,在之前的代碼中從來沒有遇見過。
檢測(cè)機(jī)會(huì):
可以通過FireEye HX: MalwareGuard和WindowsDefender的告警信息來檢查是否有次木馬。
比如:file_operation_closed
file-path*: “c:\\windows\\syswow64\\netsetupsvc.dll actor-process: pid: 17900 Windows Defender Exploit Guard保護(hù)日志如下: Process”\Device\HarddiskVolume2\Windows\System32\svchost.exe” (PID XXXXX) would have been blocked from loading the non-Microsoft-signed binary ‘\Windows\SysWOW64\NetSetupSvc.dll’環(huán)境偽裝
攻擊者先在受害者環(huán)境中找到合法的主機(jī)名,然后在其命令中加上合法的主機(jī)名信息。這使得攻擊者比較容易逃避檢查。
檢測(cè)機(jī)會(huì):
攻擊者會(huì)在RDP SSL證書中會(huì)泄露其主機(jī)名,這樣可以在網(wǎng)上掃描數(shù)據(jù)中識(shí)別出來。這為防御者提供了一個(gè)檢測(cè)機(jī)會(huì)。通過查找發(fā)起網(wǎng)絡(luò)掃描的主機(jī)名中可以發(fā)現(xiàn)惡意IP地址(注意:IP掃描歷史記錄中通常顯示IP在默認(rèn)的(WIN-*)主機(jī)名和受害者主機(jī)名之間切換)。將網(wǎng)上掃描數(shù)據(jù)中標(biāo)識(shí)的IP列表與遠(yuǎn)程訪問日志進(jìn)行關(guān)聯(lián)分析可能會(huì)在環(huán)境中識(shí)別出攻擊。
受害者國(guó)家/地區(qū)的IP地址
攻擊者對(duì)IP地址的選擇也進(jìn)行了優(yōu)化,以逃避檢測(cè)。攻擊者主要利用虛擬服務(wù)器進(jìn)行通訊,這些虛擬服務(wù)器和受害者通常來自同一個(gè)國(guó)家。
檢測(cè)機(jī)會(huì):
如果合法用戶和攻擊者用不同的ip進(jìn)行訪問的時(shí)候,兩個(gè)ip地址的傳輸速率是不一樣的。如果識(shí)別出一個(gè)惡意的登錄地址,可以檢查這個(gè)ip地址的其他操作,有助于發(fā)現(xiàn)其他問題。可以做登錄ip基線檢查(Aviation Safety Network ASN)。
橫向移動(dòng)
一旦攻擊者使用入侵的憑據(jù)獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限,他們就會(huì)使用多個(gè)不同的憑據(jù)進(jìn)行橫向移動(dòng),用于橫向移動(dòng)的憑據(jù)始終與用于遠(yuǎn)程訪問的憑據(jù)不同。
檢測(cè)機(jī)會(huì):
防御可以檢查所有的登錄活動(dòng),并分析同一個(gè)源用不同賬號(hào)登錄的情況,這種情況在業(yè)務(wù)上不多見,不過在國(guó)內(nèi)這種情況大多是堡壘機(jī)。
臨時(shí)文件替換和臨時(shí)任務(wù)修改
攻擊者使用臨時(shí)文件替換技術(shù),他們用攻擊程序替換了合法程序,執(zhí)行完成后還原了原始文件。他們通過更新現(xiàn)有的合法任務(wù)執(zhí)行其工具,然后將計(jì)劃任務(wù)回復(fù)到原始的配置。在使用完后他們通常會(huì)刪除惡意的后門。
檢測(cè)機(jī)會(huì):
防御者可以檢查SMB會(huì)話的日志,這些會(huì)話顯示對(duì)合法目錄的訪問,并在短時(shí)間內(nèi)遵循delete-create-execute-delete-create模式。此外,防御者可以監(jiān)視現(xiàn)有的計(jì)劃任務(wù),通過檢查臨時(shí)任務(wù)和使用頻率來分析任務(wù)的異常。還可以監(jiān)視任務(wù)后產(chǎn)生了新的或未知的二進(jìn)制文件。
4、解決辦法
Solarwinds建議所有客戶立即升級(jí)到Orion最新版本,該版本目前可通過SolarWinds門戶獲得。
如果你無法使用solarwind的建議,則可以采用以下緩解技術(shù):
1、確保solarwind服務(wù)器被隔離/控制,直到進(jìn)行進(jìn)一步的檢查和調(diào)查。這應(yīng)該包括屏蔽Solarwinds服務(wù)器的所有互聯(lián)網(wǎng)出口。
2、如果Solarwinds基礎(chǔ)設(shè)施不是處于隔離狀態(tài),可以考慮采取以下步驟:
2.1限制與solarwind服務(wù)器終端的連接范圍;
2.2限制在solarwind服務(wù)器上擁有本地管理員特權(quán)的帳戶的范圍;
2.3使用SolarWinds程序阻止來自服務(wù)器或其他終端的互聯(lián)網(wǎng)出口;
2.4更改有權(quán)訪問SolarWinds服務(wù)器/基礎(chǔ)結(jié)構(gòu)的帳戶的密碼;
2.5如果solarwind用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施,可以考慮對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查,以防止意外/未經(jīng)授權(quán)的修改。
三、啟示
攻擊是不確定的,當(dāng)遇到攻擊不要慌,并不是說收到攻擊者時(shí)完全束手無策,攻擊者進(jìn)行執(zhí)行惡意代碼行為時(shí),DNS解析中,進(jìn)程的創(chuàng)建時(shí),任務(wù)的修改時(shí),橫向移動(dòng)的過程中等行為還是有可能會(huì)被發(fā)現(xiàn)。所以在日常工作中可以加強(qiáng)安全運(yùn)營(yíng),檢查常用攻擊行為,尤其是登錄行為和橫向移動(dòng)的行為,檢查本機(jī)的進(jìn)程任務(wù)等;通過持久的運(yùn)營(yíng)來對(duì)抗不確定性的攻擊。供應(yīng)鏈的安全問題,更加考驗(yàn)運(yùn)營(yíng)人員的能力。普通的安全事件,我們可能根據(jù)進(jìn)程上下文和域名訪問情況就能完全判定。但供應(yīng)鏈類安全事件,我們需要觀察更多的行為才能得出判斷。當(dāng)然,對(duì)于安全檢測(cè)系統(tǒng)而言,也需要提供更豐富的關(guān)聯(lián)來支持研判。
如何檢測(cè)安全威脅事件?需要安全管理分析平臺(tái)進(jìn)行全面采集、分析及處理網(wǎng)絡(luò)中的日志、流量,找出問題所在,看清全部真相,讓網(wǎng)絡(luò)威脅無處遁形。通過海量日志及流量分析能有效發(fā)現(xiàn)安全威脅事件的蛛絲馬跡,防患于未然并可作為事后溯源取證分析的重要依據(jù)。分析的準(zhǔn)確性取決于是否制定了行之有效的告警規(guī)則,告警規(guī)則與攻擊思路是否吻合。攻防一體,只有了解盡可能多的攻擊思路與攻擊方式,才能制定出合理的防御檢測(cè)思路,完善豐富的告警知識(shí)庫(kù)。針對(duì)SolarWinds供應(yīng)鏈攻擊事件,我們根據(jù)FireEye對(duì)外發(fā)布的檢測(cè)思路細(xì)化了如下檢測(cè)規(guī)則:
參考及來源:FireEye《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》。
以上內(nèi)容為南京賽克藍(lán)德網(wǎng)絡(luò)科技有限公司原創(chuàng),如需轉(zhuǎn)載,保留原作者信息。
賽克藍(lán)德是一家提供日志分析軟件、綜合審計(jì)軟件、安全管理平臺(tái)等的專業(yè)安全廠商。
總結(jié)
以上是生活随笔為你收集整理的SolarWinds供应链攻击事件带来的启示的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 快速了解必要的网络知识
- 下一篇: FTP传输一定要注意使用二进制模式