根據(jù)行業(yè)媒體的報(bào)道，一個(gè)名為“Cozy Bear”的黑客組織日前對IT管理軟件開發(fā)商SolarWinds公司的Orion軟件進(jìn)行了破壞性的網(wǎng)絡(luò)攻擊，從而獲得了進(jìn)入美國政府部門和其他組織IT系統(tǒng)的權(quán)限。而大多數(shù)部門和組織并沒有為這種對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊做好準(zhǔn)備。

[[359232]]

黑客組織最近對大型網(wǎng)絡(luò)安全機(jī)構(gòu)FireEye公司的入侵是一次規(guī)模更大的網(wǎng)絡(luò)攻擊，該攻擊是通過對主流網(wǎng)絡(luò)監(jiān)控產(chǎn)品進(jìn)行惡意更新而實(shí)施的，并對一些政府機(jī)構(gòu)和企業(yè)造成了影響。該事件凸顯了對軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊可能造成的嚴(yán)重影響，而大多數(shù)組織都沒有為預(yù)防和檢測此類威脅做好準(zhǔn)備。

今年3月，一個(gè)黑客組織在一次網(wǎng)絡(luò)攻擊中獲得了訪問多個(gè)美國政府部門(其中包括美國財(cái)政部和美國商務(wù)部)服務(wù)器系統(tǒng)的權(quán)限。這一事件導(dǎo)致美國國家安全委員會(huì)當(dāng)時(shí)立即召開緊急會(huì)議商議應(yīng)對和解決。

黑客組織“Cozy Bear”的網(wǎng)絡(luò)攻擊破壞了SolarWinds公司開發(fā)的名為“Orion“的網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視平臺(tái)，然后使用這一訪問權(quán)限來生成木馬并將其分發(fā)給軟件用戶。在這一消息傳出之后，SolarWinds公司在其網(wǎng)站上的一個(gè)頁面宣稱，其客戶包括美國財(cái)富500強(qiáng)中的425家廠商、美國十大電信公司、美國五大會(huì)計(jì)師事務(wù)所、美國軍方所有分支機(jī)構(gòu)、五角大樓、美國國務(wù)院，以及全球數(shù)百所大學(xué)和學(xué)院。

對SolarWinds公司的軟件供應(yīng)鏈進(jìn)行攻擊還使黑客能夠訪問美國網(wǎng)絡(luò)安全服務(wù)商FireEye公司的網(wǎng)絡(luò)，這一漏洞于日前宣布，盡管FireEye公司沒有透露網(wǎng)絡(luò)攻擊者的名稱，但據(jù)《華盛頓郵報(bào)》報(bào)道，網(wǎng)絡(luò)攻擊者可能是“APT29“或“Cozy Bear”。

FireEye公司在日前發(fā)布的一份咨詢報(bào)告中表示：“我們已在全球多個(gè)實(shí)體中檢測到這一活動(dòng)。受害者包括北美、歐洲、亞洲和中東地區(qū)的政府部門、咨詢機(jī)構(gòu)、科技廠商、電信公司以及礦場，我們預(yù)計(jì)其他國家和垂直地區(qū)還會(huì)有更多受害者。我們已經(jīng)通知受到網(wǎng)絡(luò)攻擊影響的所有實(shí)體。”

惡意Orion的更新

2020年3月至2020年6月之間發(fā)布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能包含木馬程序。但是，F(xiàn)ireEye公司在分析報(bào)告中指出，每一次攻擊都需要網(wǎng)絡(luò)攻擊者精心策劃和人工交互。

網(wǎng)絡(luò)攻擊者設(shè)法修改了一個(gè)稱為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺(tái)插件，該插件是作為Orion平臺(tái)更新的一部分分發(fā)的。這一木馬組件經(jīng)過數(shù)字簽名，并包含一個(gè)后門，可與網(wǎng)絡(luò)攻擊者控制的第三方服務(wù)器進(jìn)行通信。FireEye公司將該組件作為SUNBURST進(jìn)行跟蹤，并已在GitHub上發(fā)布了開源檢測規(guī)則。

FireEye公司分析師說：“在最初長達(dá)兩周的休眠期之后，它會(huì)檢索并執(zhí)行名為‘作業(yè)’的命令，這些命令包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重新啟動(dòng)機(jī)器以及禁用系統(tǒng)服務(wù)。這一惡意軟件將其網(wǎng)絡(luò)流量偽裝成Orion改進(jìn)計(jì)劃(OIP)協(xié)議，并將偵察結(jié)果存儲(chǔ)在合法的插件配置文件中，使其能夠與合法的SolarWinds活動(dòng)相融合。其后門使用多個(gè)混淆的阻止列表來識別正在運(yùn)行的取證和防病毒工具作為流程、服務(wù)和驅(qū)動(dòng)程序。”

網(wǎng)絡(luò)攻擊者將他們的惡意軟件覆蓋率保持在很低的水平，他們更喜歡竊取并使用憑據(jù)，在網(wǎng)絡(luò)中執(zhí)行橫向移動(dòng)并建立合法的遠(yuǎn)程訪問。其后門用來交付一個(gè)輕量級的惡意軟件刪除程序，該程序從未被發(fā)現(xiàn)過，并且被FireEye公司稱為TEARDROP。這個(gè)程序直接加載到內(nèi)存中，不會(huì)在硬盤上留下痕跡。研究人員認(rèn)為，它被用來部署定制版的Cobalt Strike BEACON有效載荷。Cobalt Strike是一種商業(yè)滲透測試框架和開發(fā)代理，也已被黑客和復(fù)雜的網(wǎng)絡(luò)犯罪組織所采用和使用。

為了避免檢測，網(wǎng)絡(luò)攻擊者使用臨時(shí)文件替換技術(shù)遠(yuǎn)程執(zhí)行其工具。這意味著他們用他們的惡意工具修改了目標(biāo)系統(tǒng)上的合法實(shí)用程序，在執(zhí)行之后，然后用合法的工具替換了它。類似的技術(shù)包括通過更新合法任務(wù)以執(zhí)行惡意工具，然后將任務(wù)還原為其原始配置，從而臨時(shí)修改系統(tǒng)計(jì)劃的任務(wù)。

FireEye公司研究人員說：“防御者可以檢查SMB會(huì)話的日志，以顯示對合法目錄的訪問，并在很短的時(shí)間內(nèi)遵循刪除、創(chuàng)建、執(zhí)行、創(chuàng)建的模式。此外，防御者可以使用頻率分析來識別任務(wù)的異常修改，從而監(jiān)視現(xiàn)有的計(jì)劃任務(wù)以進(jìn)行臨時(shí)更新。還可以監(jiān)視任務(wù)以監(jiān)視執(zhí)行新的或未知二進(jìn)制文件的合法任務(wù)。”

這是FireEye公司所觀察到的威脅參與者所展示的最好的操作安全性，它專注于檢測規(guī)避和利用現(xiàn)有的信任關(guān)系。不過，該公司的研究人員認(rèn)為，這些網(wǎng)絡(luò)攻擊可以通過持續(xù)防御進(jìn)行檢測，并在其咨詢報(bào)告中描述了多種檢測技術(shù)。

SolarWinds公司建議客戶盡快升級到Orion Platform版本2020.2.1 HF 1，以確保他們正在運(yùn)行產(chǎn)品的全新版本。該公司還計(jì)劃發(fā)布一個(gè)新的修補(bǔ)程序2020.2.1 HF 2，它將替換受感染的組件并進(jìn)一步增強(qiáng)安全性。

美國國土安全部還向政府組織發(fā)布了一項(xiàng)緊急指令，以檢查其網(wǎng)絡(luò)中是否存在木馬組件并進(jìn)行報(bào)告。

并沒有有效的解決方案

對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊并不是什么新事物，安全專家多年來一直警告說，這是最難防范的威脅之一，因?yàn)樗鼈兝昧斯?yīng)商和客戶之間的信任關(guān)系以及機(jī)器對機(jī)器的通信渠道，例如用戶固有信任的軟件更新機(jī)制。

早在2012年，研究人員發(fā)現(xiàn)Flame惡意軟件的網(wǎng)絡(luò)攻擊者使用了針對MD5文件哈希協(xié)議的加密攻擊，使他們的惡意軟件看起來像是由Microsoft合法簽名的，并通過Windows Update機(jī)制分發(fā)給目標(biāo)。這并不是軟件開發(fā)商本身(微軟公司)遭到網(wǎng)絡(luò)攻擊，但是網(wǎng)絡(luò)攻擊者利用了Windows Update文件檢查中的漏洞，證明可以充分利用軟件更新機(jī)制。

2017年，卡巴斯基實(shí)驗(yàn)室的安全研究人員發(fā)現(xiàn)了一個(gè)名為Winnti的APT組織的軟件供應(yīng)鏈攻擊，該攻擊涉及侵入制造服務(wù)器管理軟件提供商N(yùn)etSarang公司的基礎(chǔ)設(shè)施，該軟件允許他們分發(fā)產(chǎn)品的木馬版本。采用NetSarang公司合法證書實(shí)施數(shù)字簽名。后來，這些網(wǎng)絡(luò)攻擊者入侵了Avast子公司CCleaner的開發(fā)基礎(chǔ)設(shè)施，并向220多萬用戶分發(fā)了該程序的木馬版本。去年，網(wǎng)絡(luò)攻擊者劫持了計(jì)算機(jī)制造商ASUSTeK Computer的更新基礎(chǔ)設(shè)施，并向用戶分發(fā)了ASUS Live Update Utility的惡意版本。

安全咨詢機(jī)構(gòu)TrustedSec公司創(chuàng)始人David Kennedy說，“從威脅建模的角度來看，我不知道有任何組織將供應(yīng)鏈攻擊整合到他們的環(huán)境中。當(dāng)查看SolarWinds的情況時(shí)，這是一個(gè)很好的例子，表明網(wǎng)絡(luò)攻擊者可以選擇已部署產(chǎn)品的任何目標(biāo)，而這些目標(biāo)是世界各地的許多公司，并且大多數(shù)組織都無法檢測和預(yù)防。”

雖然部署在組織中的軟件可能會(huì)經(jīng)過安全審查，以了解開發(fā)人員是否具有良好的安全實(shí)踐，以修補(bǔ)可能被利用的產(chǎn)品漏洞，但組織不會(huì)考慮如果其更新機(jī)制受到影響，該軟件將如何影響其基礎(chǔ)設(shè)施。Kennedy說，“我們在這方面還很不成熟，而且也沒有簡單有效的解決方案，因?yàn)楹芏嘟M織需要軟件來運(yùn)行他們的工作負(fù)載，他們需要采用新技術(shù)來擴(kuò)大存在并保持競爭力，而提供軟件的組織卻沒有將其視為威脅模型。”

Kennedy認(rèn)為，首先應(yīng)該從軟件開發(fā)人員開始，并更多地考慮如何始終保護(hù)其代碼完整性，同時(shí)還要考慮如何在設(shè)計(jì)產(chǎn)品時(shí)盡量降低風(fēng)險(xiǎn)。

他說：“很多時(shí)候，當(dāng)組織在構(gòu)建軟件時(shí)，將會(huì)構(gòu)建一個(gè)由外而內(nèi)的威脅模型，但并非總是從內(nèi)而外地考慮。這是很多人需要關(guān)注的領(lǐng)域：如何設(shè)計(jì)架構(gòu)和基礎(chǔ)設(shè)施使其更能抵御這些類型的攻擊?是否有辦法通過最小化產(chǎn)品架構(gòu)中的基礎(chǔ)設(shè)施來阻止許多這樣的攻擊?例如，把SolarWinds公司Orion保留在自己的孤島中，這樣就可以使通信正常工作，但僅此而已。一般來說，良好的安全實(shí)施是為對手創(chuàng)造盡可能多的復(fù)雜性，這樣即使他們成功了，而且正在運(yùn)行的代碼也遭到了破壞，網(wǎng)絡(luò)攻擊者也很難實(shí)現(xiàn)他們的目標(biāo)。”

作為軟件公司，也應(yīng)該開始考慮將零信任網(wǎng)絡(luò)原則和基于角色的訪問控制不僅應(yīng)用于用戶，還應(yīng)用于應(yīng)用程序和服務(wù)器。正如并非每個(gè)用戶或設(shè)備都能夠訪問網(wǎng)絡(luò)上的任何應(yīng)用程序或服務(wù)器一樣，并不是每個(gè)服務(wù)器或應(yīng)用程序都能夠與網(wǎng)絡(luò)上的其他服務(wù)器和應(yīng)用程序進(jìn)行通信。在將新軟件或技術(shù)部署到他們的網(wǎng)絡(luò)中時(shí)，組織應(yīng)該問自己：如果該產(chǎn)品由于惡意更新而受到威脅將會(huì)發(fā)生什么情況?他們需要嘗試采取控制措施，以盡可能減少影響。

對于軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊的數(shù)量在未來可能會(huì)增加，尤其是在其他網(wǎng)絡(luò)攻擊者看到其成功和廣泛性時(shí)。在2017年遭遇WannaCry和NotPetya網(wǎng)絡(luò)攻擊之后，針對組織的勒索軟件攻擊數(shù)量激增，因?yàn)樗鼈兿蚓W(wǎng)絡(luò)攻擊者表明其網(wǎng)絡(luò)的抵抗力不如他們認(rèn)為的那樣。從那以后，許多網(wǎng)絡(luò)犯罪組織采用了先進(jìn)的技術(shù)。

勒索軟件組織也了解利用供應(yīng)鏈的價(jià)值，并已開始攻擊托管服務(wù)提供商，以利用其對客戶網(wǎng)絡(luò)的訪問權(quán)。NotPetya本身有一個(gè)供應(yīng)鏈組件，因?yàn)槔账鬈浖湎x最初是通過稱為M.E.Doc的計(jì)費(fèi)軟件的后門軟件更新服務(wù)器啟動(dòng)的，該計(jì)費(fèi)軟件在東歐國家很流行。

Kennedy表示，黑客組織將這次襲擊視為一次非常成功的網(wǎng)絡(luò)攻擊。從勒索軟件的角度來看，他們同時(shí)攻擊安裝了SolarWinds Orion平臺(tái)的所有組織。他說，“黑客可能知道，對于這種類型的網(wǎng)絡(luò)攻擊，需要提高復(fù)雜性，但是考慮到從勒索軟件團(tuán)體中看到的進(jìn)步以及他們投入的資金，這并不是一件容易的事。但我認(rèn)為以后還會(huì)看出現(xiàn)這種情況。”