近日，知名網(wǎng)絡(luò)安全公司FireEye和軟件廠商SolarWinds先后被(同一)APT組織入侵，不但導(dǎo)致FireEye的紅隊工具“核泄露”，同時還通過SolarWinds軟件供應(yīng)鏈影響全球數(shù)萬大型企業(yè)(包括FireEye)，超過九成財富500強企業(yè)安裝了木馬化軟件，在全球掀起軒然大波。

[[358552]]

由于“日爆攻擊”(SUNBURST)采用了前所未見的全新攻擊方法和技術(shù)，企業(yè)界和網(wǎng)絡(luò)安全界正密切關(guān)注、跟蹤和分析此次攻擊相關(guān)的技術(shù)、戰(zhàn)術(shù)和程序(TTP)。

以下，是網(wǎng)絡(luò)安全公司Picus Labs用MITER ATT&CK框架映射了SolarWinds事件中攻擊者使用的策略、技術(shù)和流程，以了解其攻擊方法、漏洞影響和緩解方法，研究發(fā)現(xiàn)攻擊者動用了超過20個ATT&CK戰(zhàn)術(shù)，以下對其中十種重要戰(zhàn)術(shù)進行分析。

主要發(fā)現(xiàn)

• 這是一場全球性的攻擊活動，始于2020年3月，目前正在進行中;
• 攻擊活動有可能影響全球成千上萬的公共和私人組織;
• 攻擊始于軟件供應(yīng)鏈攻擊;
• 威脅參與者對SolarWinds Orion Platform軟件的一個組件進行了木馬化，該木馬組件被FireEye稱為SUNBURST(日爆攻擊);
• 該軟件的木馬版本是通過其自動更新機制分發(fā)的;
• 攻擊者大量使用各種防御規(guī)避技術(shù)，例如偽裝、代碼簽名、混淆的文件或信息、刪除主機上的indicator，以及虛擬化/沙盒規(guī)避;
• 攻擊者利用了十種不同的MITER ATT&CK戰(zhàn)術(shù)，包括橫向移動、命令和控制以及數(shù)據(jù)泄露;
• 攻擊中使用的技術(shù)表明攻擊者擁有高超技能。

針對SolarWinds的攻擊中使用的戰(zhàn)術(shù)，技術(shù)和程序(映射到MITER ATT&CK框架)本次分析使用MITER ATT&CK 8.1框架。所引用的攻擊策略和技術(shù)，請參閱企業(yè)版ATT&CK 8.1

(https://attack.mitre.org/techniques/enterprise/)。

1. 資源開發(fā)

T1587.001開發(fā)功能：惡意軟件

攻擊者會在攻擊受害者之前開發(fā)惡意軟件和惡意軟件組件，例如有效載荷、投放程序(dropper)、后門和入侵后期工具。攻擊者可能會從頭開發(fā)全新的惡意軟件，也可以使用公開可用的工具。

在SolarWinds事件中，攻擊者將其惡意載荷嵌入到SolarWinds Orion Platform軟件的合法組件——DLL庫SolarWinds.Orion.Core.BusinessLayer.dll。FireEye將該DLL文件的后門版本命名為SUNBURST 。所述SUNBURST后門提供不同的有效載荷，例如，以前從未見過的內(nèi)存專用Dropper(FireEye稱之為TEARDROP)。該dropper能夠部署臭名昭著的后期攻擊工具Cobalt Strike Beacon。顯然，攻擊者在FireEye漏洞中使用了Beacon，并偷走了FireEye的Red Team工具(其中包括Beacon)。

T1583.003獲取基礎(chǔ)結(jié)構(gòu)：虛擬專用服務(wù)器

在這種MITER ATT&CK技術(shù)中，攻擊者為攻擊活動租用了虛擬專用服務(wù)器(VPS)。根據(jù)FireEye的研究，攻擊者利用VPS使用與受害者同一國家的IP地址。FireEye在nGitHub上提供了兩個Yara規(guī)則來檢測TEARDROP 。

2. 初始訪問

T1195.002供應(yīng)鏈攻擊：入侵軟件供應(yīng)鏈

在軟件供應(yīng)鏈攻擊技術(shù)中，攻擊者可以在最終用戶獲取軟件之前對其進行多種修改，包括：

• 源代碼
• 源代碼存儲庫(公共或私有)
• 開源依賴的源代碼
• 開發(fā)和分發(fā)系統(tǒng)
• 更新機制
• 開發(fā)環(huán)境
• 編譯后的發(fā)行版本

在SolarWinds Orion漏洞中，攻擊者通過將惡意代碼嵌入到SolarWinds庫文件SolarWinds.Orion.Core.BusinessLayer.dll中，向后攻擊了Orion Platform軟件的三個版本：2019.4 HF 5、2020.2(暫無熱修復(fù)補丁)和2020.2 HF 1 。尚不清楚攻擊者如何篡改此文件。根據(jù)微軟的研究，攻擊者可能已經(jīng)入侵和篡改了開發(fā)或分發(fā)系統(tǒng)以嵌入式惡意代碼。另一個說法是，攻擊者可能使用泄漏的FTP憑據(jù)將惡意DLL文件上傳到SolarWinds的源代碼存儲庫中。

包含惡意DLL后門文件的SolarWinds Orion Platform軟件更新文件是通過其自動更新機制分發(fā)的。

作為對策，請檢查以下位置是否存在篡改的SolarWinds.Orion.Core.BusinessLayer.dll文件：

%PROGRAMFILES%\SolarWinds\Orion\%WINDIR%\ System32\config\systemprofile\AppData\Local\assembly\tmp \\

如果該DLL具有以下SHA256哈希值之一，則它是被篡改的惡意版本：

• 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
• dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
• eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
• c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
• ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
• 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
• ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
• a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc

然后，使用最新的防病毒產(chǎn)品掃描上述文件夾，并運行EDR以檢測被惡意篡改的SolarWinds文件及其(潛在)異常行為。

3. 執(zhí)行

T1569.002系統(tǒng)服務(wù)：服務(wù)執(zhí)行

在該MITER ATT&CK技術(shù)中，對手將惡意軟件作為Windows服務(wù)執(zhí)行。在安裝SolarWinds應(yīng)用程序或更新的過程中，被篡改的DLL文件由合法SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe加載并作為Windows服務(wù)安裝。

4. 駐留

T1543.003創(chuàng)建或修改系統(tǒng)：Windows服務(wù)

作為駐留(持久性)的一部分，攻擊者可以創(chuàng)建或更改Windows服務(wù)以重復(fù)執(zhí)行惡意有效負載。Windows啟動時，惡意代碼將作為服務(wù)啟動。修改后的DLL加載的TEARDROP惡意軟件將作為服務(wù)在后臺運行。

5. 特權(quán)提升

T1078有效賬戶

使用這種MITER ATT&CK技術(shù)攻擊者可以獲取并濫用合法憑據(jù)來獲得初始訪問權(quán)、駐留、特權(quán)提升、防御逃避或橫向移動。攻擊者在此攻擊活動中使用多個有效帳戶進行橫向移動。

6. 防御逃避

(1) T1553.002破壞信任控制：代碼簽名

要想繞過應(yīng)用控制技術(shù)，攻擊者通過創(chuàng)建、獲取或竊取代碼簽名材料來幫惡意軟件獲取有效的簽名。

在SolarWinds事件中，攻擊者破壞了SolarWinds的數(shù)字證書。

請移除受損的SolarWinds證書：

• “Signer”：“Solarwinds Worldwide LLC”
• “SignerHash”：“47d92d49e6f7f296260da1af355f941eb25360c4”

(2) T1036.005 偽裝：匹配合法名稱或位置

作為一種防御規(guī)避技術(shù)，對手可以通過合法和可信的方式更改其惡意工件的功能。這些功能的一些示例包括代碼簽名、惡意軟件文件的名稱和位置，任務(wù)和服務(wù)的名稱。偽裝后，攻擊者的惡意工件(如惡意軟件文件)對用戶和安全控件而言都是合法的。

根據(jù)FireEye的報告，SolarWinds漏洞的攻擊者使用在受害者環(huán)境中找到的合法主機名作為其Command and Control(C2)基礎(chǔ)結(jié)構(gòu)上的主機名，以避免被檢測到。此外，該惡意軟件將其C2流量偽裝成Orion Improvement Program(OIP)協(xié)議。

(3) T1036.003 偽裝：重命名系統(tǒng)工具程序

為了避免基于名稱的檢測，對手可以重命名系統(tǒng)工具程序。此外，攻擊者用其替換合法的實用程序，執(zhí)行其有效負載，然后恢復(fù)合法的原始文件。

(4) T1036.004偽裝：偽裝任務(wù)或服務(wù)

對手將任務(wù)/服務(wù)的名稱偽裝成合法任務(wù)/服務(wù)的名稱，以使其看起來是良性的，從而逃避了檢測。攻擊者常使用與Windows Task Scheduler(在Linux和Windows中)中運行的合法Windows和Linux系統(tǒng)服務(wù)名稱類似或一致的服務(wù)。

(5) T1497.003虛擬化/沙盒逃避：基于時間的逃避

攻擊者采用各種基于時間的規(guī)避方法，例如在初始執(zhí)行時延遲惡意軟件的功能，以避免虛擬化和分析環(huán)境。在Solarwinds事件中，攻擊者在安裝后延遲兩周內(nèi)才啟動命令和控制通信。

(6) T1027.003 文件或信息混淆：隱寫術(shù)

在這種MITER ATT&CK技術(shù)中，攻擊者將數(shù)據(jù)隱藏在數(shù)字媒體中，例如圖像、音頻、視頻和文本來逃避檢測。SolarWinds漏洞中使用的TEARDROP惡意軟件從文件gracious_truth.jpg中讀取了惡意負載。

(7) T1070.004 主機指標移除：文件刪除

攻擊者刪除其惡意文件以清除痕跡，并最大程度地清除攻擊痕跡，以逃避檢測和檢查。遠程訪問后，攻擊者會刪除其惡意文件，包括后門。

7. 發(fā)現(xiàn)

T1057流程發(fā)現(xiàn)

攻擊者獲取有關(guān)系統(tǒng)上正在運行的進程的信息，以了解網(wǎng)絡(luò)內(nèi)系統(tǒng)上運行的常見軟件和應(yīng)用程序。攻擊者獲得流程清單以確定后續(xù)行動的流程。

T1012查詢注冊表

攻擊者查詢Windows注冊表以獲取有關(guān)系統(tǒng)，配置和已安裝軟件的信息。攻擊者通過查詢HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography密鑰中的MachineGuid值來獲取加密計算機GUID，以為每個受害者生成唯一的用戶ID。

8. 橫向移動

T1021遠程服務(wù)

在這種MITER ATT&CK技術(shù)中，對手使用有效賬戶登錄遠程服務(wù)，例如遠程桌面協(xié)議(RDP)、SSH和VNC。攻擊者使用有效帳戶和合法的遠程訪問在目標網(wǎng)絡(luò)中橫向移動。

9. 命令與控制

(1) T1071.001應(yīng)用層協(xié)議：Web協(xié)議

根據(jù)該技術(shù)，攻擊者使用應(yīng)用程序?qū)?L7)協(xié)議進行通信，并將“命令與控制”流量與現(xiàn)有的Web流量混合在一起，以避免檢測和網(wǎng)絡(luò)過濾。SolarWinds漏洞中使用的惡意軟件利用了：

• 請求數(shù)據(jù)時的HTTP GET或HEAD請求
• 發(fā)送數(shù)據(jù)時的HTTP PUT或HTTP POST請求。

惡意DLL會調(diào)用avsvmcloud.com的遠程網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。阻止該域名并檢查網(wǎng)絡(luò)連接日志。

(2) T1568.002動態(tài)解析：域名生成算法

攻擊者使用動態(tài)域名生成算法(DGAs)動態(tài)生成C2域名，而不是依靠靜態(tài)IP地址或域名列表。此攻擊活動中使用的后門使用DGA來確定其C2服務(wù)器。

10. 滲透

T1041通過C2通道滲透。這種MITRE ATT&CK技術(shù)中，攻擊者通過在現(xiàn)有的C2通道來竊取數(shù)據(jù)。當(dāng)收集的數(shù)據(jù)被分發(fā)到C2服務(wù)器時，攻擊者會使用HTTP PUT或HTTP POST請求。如果有效載荷大于10000個字節(jié)將使用POST方法。否則，將使用PUT方法。

參考資料：

https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文