雖然SolarWinds惡意軟件實施的規模空前的網絡攻擊范圍尚待確定，但它使網絡攻擊者得以訪問某些最敏感的系統和數據。

 

在全球廣泛應用的網絡監控工具SolarWinds Orion已經受到威脅和破壞。去年3月，在所謂的“供應鏈攻擊”中，網絡攻擊者在更新代碼中注入了惡意軟件，其用戶每次運行更新時都會安裝木馬程序。

 

美國網絡安全聯盟執行董事Kelvin Coleman說：“供應鏈攻擊是一種低成本、高影響的威脅。這顯然對攻擊者來說很具吸引力，因為他們可以同時實現許多目標。通過SolarWinds Orion引入的帶有惡意軟件的更新，對于那些認為他們只是安裝或更新已驗證軟件的公司來說已經成為了破壞點。”

 

SolarWinds公司在日前提交給美國網絡安全聯盟的一份調查文件中表示，多達18,000個機構和組織受到影響。該公司擁有30萬家客戶，其中包括美國十大電信公司、美國軍方的所有五個分支機構、美國名列前五的會計師事務所、美國白宮、五角大樓、美國國務院、美國國家安全局、美國司法部等重要政府部門。

 

SolarWinds公司還表示，美國財富500強企業中有425家公司是該公司的用戶，其中包括福特、柯達、思科、萬事達、微軟。

 

網絡安全服務商RedSeal公司首席技術官Mike Lloyd說，SolarWinds Orion的IT監控服務廣泛用于數據中心。他說：“基本上，在云平臺或物理數據中心運行的任何東西都需要被監控，以跟蹤正常運行時間、性能和服務可用性。這些監視工具往往是為了關注最關鍵的資產而設置的。這就是為什么SolarWinds Orion成為網絡攻擊者重要目標的原因。如果看到它所看到的內容，則可以有效地看到所有重要內容。”

 

在安裝木馬程序之后，網絡攻擊者使用它來入侵受害者的某些網絡并泄露敏感數據和電子郵件。已經確認的案例包括對美國商務部、美國財政部以及著名的網絡安全機構FireEye公司的攻擊。

 

然而，網絡攻擊者對FireEye公司的攻擊功虧一簣。FireEye公司發現了攻擊行為，并有效阻止了其攻擊行為。FireEye公司隨后展開攻勢，以確定網絡攻擊如何發生，以及哪些組織受到影響。

 

FireEye公司表示，它檢測到網絡攻擊者對全球各地機構和組織的攻擊，其中包括北美、歐洲、亞洲和中東的政府部門、咨詢機構、技術部門、電信和礦業公司。

 

該公司表示：“我們預計其他國家和垂直行業還會有更多受害者。我們已經通知受到所有影響的實體。”

 

這并不是首次使用具有破壞性結果的供應鏈攻擊。2017年，NotPetya惡意軟件在全球范圍內進行攻擊，造成將近100億美元的損失。

 

 

當用戶下載更新時，對SolarWinds的漏洞進行網絡攻擊(微軟公司稱其為Solorigate，FireEye公司稱為Sunburst)就會開始。

 

事實證明，SolarWinds公司建議其用戶從反惡意軟件檢查中排除此更新過程。SolarWinds Orion工具幫助用戶監控他們的網絡。該系統的一個缺陷使攻擊者能夠訪問整個網絡基礎設施。

 

該惡意軟件通過使用網絡攻擊者購買的合法域建立的通信服務器與其制造商進行通信，這些合法域已經存在了一段時間。這樣一來，它就可以逃避安全防護系統，以尋找已知惡意站點或全新域的可疑流量。

 

FireEye公司在其調查報告中指出：“經過最初長達兩周的休眠期之后，它會檢索并執行命令，其中包括傳輸文件和執行文件，對系統進行配置文件，重新啟動計算機以及禁用系統服務的功能。”

 

該惡意軟件將其活動偽裝為合法的Orion改進程序流量，并將其偵察結果存儲在合法的插件配置文件中。它還使用模糊的黑名單來識別反病毒和其他安全工具。

 

然后，網絡攻擊者偽造身份安全令牌，使他們能夠冒充任何用戶或帳戶，包括特權帳戶，這使他們能夠繞過Office 365等服務的多因素身份驗證，從供應商那里進入內部部署和云端的電子郵件帳戶。

 

FireEye公司首席執行官Kevin Mandia在一份聲明中說：“他們在運營安全方面接受過嚴格的培訓，并具有紀律性和專注力。他們秘密地進行操作，使用了應對安全工具和法醫檢查的方法。他們采用了一種新穎的技術組合，我們過去從未見過這種組合。”

 

此外，網絡攻擊者使用其訪問權限滲透現有用戶帳戶或創建新帳戶，以訪問更多系統。

 

 

截至公布之日，已知受害者包括美國智庫FireEye、美國財政部、美國商務部、國家衛生研究院、美國網絡安全和基礎設施局、美國國土安全部和美國國務院。

 

RedSeal公司的Lloyd表示：“這是一個令人沮喪但重要的認識，用戶可能無法分辨出自己是否真正受到了傷害，如果有可能的話，最好假設它確實發生了。”

 

到目前為止，網絡攻擊者的目標似乎在不進行破壞的情況下獲得信息，而且沒有受害者報告過對其系統的損害。然而，對于擁有敏感信息的政府機構、承包商和其他組織來說，敏感信息的丟失可能是災難性的打擊。

 

因此，美國國土安全部的網絡安全和基礎設施安全局日前發布了一項罕見的緊急指令，命令美國聯邦機構立即關閉所有SolarWinds Orion工具，并檢查網絡是否存在危害跡象。

 

美國網絡安全聯盟代理總監Brandon Wales在一份聲明中說：“ SolarWinds Orion網絡管理產品的漏洞給美國聯邦網絡的安全帶來了不可接受的風險。”

 

451 Research公司分析師Scott Crawford表示，但這并不意味著其他類型的組織應該感到安全。

 

他指出，美國卷入了一場類似的網絡戰爭，持續不斷受到網絡攻擊，這對任何組織都可能造成附帶損害。

 

Crawford說：“有時，威脅參與者之間的界限有時是模糊的。如果他們有共同的目標，他們就有充分的理由合作。”

 

 

任何組織的安全部門負責人都應采取的第一步是確定其基礎設施受到何種程度的影響。SolarWinds公司發布了有關確定數據中心可能運行的Orion產品版本的說明。

 

美國網絡安全聯盟建議，針對正在運行易受攻擊的SolarWinds產品的每種情況保存操作系統和系統內存的映像，以分析新的用戶或服務帳戶，并檢查存儲的網絡流量是否存在危害指標。

 

FireEye公司還發布了危害指標列表，并共享了免費對策的GitHub存儲庫。

 

下一步措施是移除、升級或隔離受影響的SolarWinds Orion系統。美國網絡安全聯盟建議完全刪除，而SolarWinds公司建議升級和修補。

 

在無法立即進行升級或修補的情況下，SolarWinds建議盡可能隔離系統。并建議在防火墻后運行Orion，禁用其互聯網訪問，將端口和連接限制為絕對必要的端口和連接。接下來，用戶需要刪除所有受損的用戶帳戶和通信通道，包括關閉對已知受損域和IP地址的所有訪問。

 

用戶還應該重置SolarWinds系統可以訪問的所有憑據，以及所有特權帳戶，身份驗證密鑰和令牌。

 

Sophos公司為此推出了一份極其詳細的事故應對行動手冊，并在獲得新信息后不斷對其進行更新。在清理完成后，用戶可以將系統還原到最后一個良好狀態，也可以從受信任的來源重新安裝。

 

微軟公司還發布了詳細的SolarWinds響應公告。

 

 

研究法規、風險和合規性問題的全球性咨詢機構StoneTurn公司的合伙人Luke Tenery說，SolarWinds黑客事件是一個“分水嶺事件”。

 

他說，“這個事件表明即使是最先進的組織，即使可能采取某種程度的安全預防措施，也無法在可信的第三方受到威脅時檢測到高度先進的網絡攻擊。”

 

在這個事件中，行業領先的安全機構 以及美國政府中一些最關注安全的部門成為受害者。他表示，這是供應鏈攻擊的最大危險。因為很多組織信任他們的IT供應商。

 

他說，“解決方案是加強供應商風險管理。但是，即使是美國最著名的技術提供商，也要監視系統的完整性和預期行為。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。