黑客組織最近對大型網絡安全機構FireEye公司的入侵是一次規模更大的網絡攻擊,該攻擊是通過對主流網絡監控產品進行惡意更新而實施的,并對一些政府機構和企業造成了影響。該事件凸顯了對軟件供應鏈網絡攻擊可能造成的嚴重影響,而大多數組織都沒有為預防和檢測此類威脅做好準備。
今年3月,一個黑客組織在一次網絡攻擊中獲得了訪問多個美國政府部門(其中包括美國財政部和美國商務部)服務器系統的權限。這一事件導致美國國家安全委員會當時立即召開緊急會議商議應對和解決。
黑客組織“Cozy Bear”的網絡攻擊破壞了SolarWinds公司開發的名為“Orion“的網絡和應用程序監視平臺,然后使用這一訪問權限來生成木馬并將其分發給軟件用戶。在這一消息傳出之后,SolarWinds公司在其網站上的一個頁面宣稱,其客戶包括美國財富500強中的425家廠商、美國十大電信公司、美國五大會計師事務所、美國軍方所有分支機構、五角大樓、美國國務院,以及全球數百所大學和學院。
對SolarWinds公司的軟件供應鏈進行攻擊還使黑客能夠訪問美國網絡安全服務商FireEye公司的網絡,這一漏洞于日前宣布,盡管FireEye公司沒有透露網絡攻擊者的名稱,但據《華盛頓郵報》報道,網絡攻擊者可能是“APT29“或“Cozy Bear”。
FireEye公司在日前發布的一份咨詢報告中表示:“我們已在全球多個實體中檢測到這一活動。受害者包括北美、歐洲、亞洲和中東地區的政府部門、咨詢機構、科技廠商、電信公司以及礦場,我們預計其他國家和垂直地區還會有更多受害者。我們已經通知受到網絡攻擊影響的所有實體。”
惡意Orion的更新
2020年3月至2020年6月之間發布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能包含木馬程序。但是,FireEye公司在分析報告中指出,每一次攻擊都需要網絡攻擊者精心策劃和人工交互。
網絡攻擊者設法修改了一個稱為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件,該插件是作為Orion平臺更新的一部分分發的。這一木馬組件經過數字簽名,并包含一個后門,可與網絡攻擊者控制的第三方服務器進行通信。FireEye公司將該組件作為SUNBURST進行跟蹤,并已在GitHub上發布了開源檢測規則。
FireEye公司分析師說:“在最初長達兩周的休眠期之后,它會檢索并執行名為‘作業’的命令,這些命令包括傳輸文件、執行文件、分析系統、重新啟動機器以及禁用系統服務。這一惡意軟件將其網絡流量偽裝成Orion改進計劃(OIP)協議,并將偵察結果存儲在合法的插件配置文件中,使其能夠與合法的SolarWinds活動相融合。其后門使用多個混淆的阻止列表來識別正在運行的取證和防病毒工具作為流程、服務和驅動程序。”
網絡攻擊者將他們的惡意軟件覆蓋率保持在很低的水平,他們更喜歡竊取并使用憑據,在網絡中執行橫向移動并建立合法的遠程訪問。其后門用來交付一個輕量級的惡意軟件刪除程序,該程序從未被發現過,并且被FireEye公司稱為TEARDROP。這個程序直接加載到內存中,不會在硬盤上留下痕跡。研究人員認為,它被用來部署定制版的Cobalt Strike BEACON有效載荷。Cobalt Strike是一種商業滲透測試框架和開發代理,也已被黑客和復雜的網絡犯罪組織所采用和使用。
為了避免檢測,網絡攻擊者使用臨時文件替換技術遠程執行其工具。這意味著他們用他們的惡意工具修改了目標系統上的合法實用程序,在執行之后,然后用合法的工具替換了它。類似的技術包括通過更新合法任務以執行惡意工具,然后將任務還原為其原始配置,從而臨時修改系統計劃的任務。
FireEye公司研究人員說:“防御者可以檢查SMB會話的日志,以顯示對合法目錄的訪問,并在很短的時間內遵循刪除、創建、執行、創建的模式。此外,防御者可以使用頻率分析來識別任務的異常修改,從而監視現有的計劃任務以進行臨時更新。還可以監視任務以監視執行新的或未知二進制文件的合法任務。”
這是FireEye公司所觀察到的威脅參與者所展示的最好的操作安全性,它專注于檢測規避和利用現有的信任關系。不過,該公司的研究人員認為,這些網絡攻擊可以通過持續防御進行檢測,并在其咨詢報告中描述了多種檢測技術。
SolarWinds公司建議客戶盡快升級到Orion Platform版本2020.2.1 HF 1,以確保他們正在運行產品的全新版本。該公司還計劃發布一個新的修補程序2020.2.1 HF 2,它將替換受感染的組件并進一步增強安全性。
美國國土安全部還向政府組織發布了一項緊急指令,以檢查其網絡中是否存在木馬組件并進行報告。
并沒有有效的解決方案
對軟件供應鏈的網絡攻擊并不是什么新事物,安全專家多年來一直警告說,這是最難防范的威脅之一,因為它們利用了供應商和客戶之間的信任關系以及機器對機器的通信渠道,例如用戶固有信任的軟件更新機制。
早在2012年,研究人員發現Flame惡意軟件的網絡攻擊者使用了針對MD5文件哈希協議的加密攻擊,使他們的惡意軟件看起來像是由Microsoft合法簽名的,并通過Windows Update機制分發給目標。這并不是軟件開發商本身(微軟公司)遭到網絡攻擊,但是網絡攻擊者利用了Windows Update文件檢查中的漏洞,證明可以充分利用軟件更新機制。
2017年,卡巴斯基實驗室的安全研究人員發現了一個名為Winnti的APT組織的軟件供應鏈攻擊,該攻擊涉及侵入制造服務器管理軟件提供商NetSarang公司的基礎設施,該軟件允許他們分發產品的木馬版本。采用NetSarang公司合法證書實施數字簽名。后來,這些網絡攻擊者入侵了Avast子公司CCleaner的開發基礎設施,并向220多萬用戶分發了該程序的木馬版本。去年,網絡攻擊者劫持了計算機制造商ASUSTeK Computer的更新基礎設施,并向用戶分發了ASUS Live Update Utility的惡意版本。
安全咨詢機構TrustedSec公司創始人David Kennedy說,“從威脅建模的角度來看,我不知道有任何組織將供應鏈攻擊整合到他們的環境中。當查看SolarWinds的情況時,這是一個很好的例子,表明網絡攻擊者可以選擇已部署產品的任何目標,而這些目標是世界各地的許多公司,并且大多數組織都無法檢測和預防。”
雖然部署在組織中的軟件可能會經過安全審查,以了解開發人員是否具有良好的安全實踐,以修補可能被利用的產品漏洞,但組織不會考慮如果其更新機制受到影響,該軟件將如何影響其基礎設施。Kennedy說,“我們在這方面還很不成熟,而且也沒有簡單有效的解決方案,因為很多組織需要軟件來運行他們的工作負載,他們需要采用新技術來擴大存在并保持競爭力,而提供軟件的組織卻沒有將其視為威脅模型。”
Kennedy認為,首先應該從軟件開發人員開始,并更多地考慮如何始終保護其代碼完整性,同時還要考慮如何在設計產品時盡量降低風險。
他說:“很多時候,當組織在構建軟件時,將會構建一個由外而內的威脅模型,但并非總是從內而外地考慮。這是很多人需要關注的領域:如何設計架構和基礎設施使其更能抵御這些類型的攻擊?是否有辦法通過最小化產品架構中的基礎設施來阻止許多這樣的攻擊?例如,把SolarWinds公司Orion保留在自己的孤島中,這樣就可以使通信正常工作,但僅此而已。一般來說,良好的安全實施是為對手創造盡可能多的復雜性,這樣即使他們成功了,而且正在運行的代碼也遭到了破壞,網絡攻擊者也很難實現他們的目標。”
作為軟件公司,也應該開始考慮將零信任網絡原則和基于角色的訪問控制不僅應用于用戶,還應用于應用程序和服務器。正如并非每個用戶或設備都能夠訪問網絡上的任何應用程序或服務器一樣,并不是每個服務器或應用程序都能夠與網絡上的其他服務器和應用程序進行通信。在將新軟件或技術部署到他們的網絡中時,組織應該問自己:如果該產品由于惡意更新而受到威脅將會發生什么情況?他們需要嘗試采取控制措施,以盡可能減少影響。
對于軟件供應鏈的網絡攻擊的數量在未來可能會增加,尤其是在其他網絡攻擊者看到其成功和廣泛性時。在2017年遭遇WannaCry和NotPetya網絡攻擊之后,針對組織的勒索軟件攻擊數量激增,因為它們向網絡攻擊者表明其網絡的抵抗力不如他們認為的那樣。從那以后,許多網絡犯罪組織采用了先進的技術。
勒索軟件組織也了解利用供應鏈的價值,并已開始攻擊托管服務提供商,以利用其對客戶網絡的訪問權。NotPetya本身有一個供應鏈組件,因為勒索軟件蠕蟲最初是通過稱為M.E.Doc的計費軟件的后門軟件更新服務器啟動的,該計費軟件在東歐國家很流行。
Kennedy表示,黑客組織將這次襲擊視為一次非常成功的網絡攻擊。從勒索軟件的角度來看,他們同時攻擊安裝了SolarWinds Orion平臺的所有組織。他說,“黑客可能知道,對于這種類型的網絡攻擊,需要提高復雜性,但是考慮到從勒索軟件團體中看到的進步以及他們投入的資金,這并不是一件容易的事。但我認為以后還會看出現這種情況。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號