雖然SolarWinds惡意軟件實(shí)施的規(guī)?？涨暗木W(wǎng)絡(luò)攻擊范圍尚待確定，但它使網(wǎng)絡(luò)攻擊者得以訪問某些最敏感的系統(tǒng)和數(shù)據(jù)。

在全球廣泛應(yīng)用的網(wǎng)絡(luò)監(jiān)控工具SolarWinds Orion已經(jīng)受到威脅和破壞。去年3月，在所謂的“供應(yīng)鏈攻擊”中，網(wǎng)絡(luò)攻擊者在更新代碼中注入了惡意軟件，其用戶每次運(yùn)行更新時(shí)都會(huì)安裝木馬程序。

[[373508]]

美國網(wǎng)絡(luò)安全聯(lián)盟執(zhí)行董事Kelvin Coleman說：“供應(yīng)鏈攻擊是一種低成本、高影響的威脅。這顯然對攻擊者來說很具吸引力，因?yàn)樗麄兛梢酝瑫r(shí)實(shí)現(xiàn)許多目標(biāo)。通過SolarWinds Orion引入的帶有惡意軟件的更新，對于那些認(rèn)為他們只是安裝或更新已驗(yàn)證軟件的公司來說已經(jīng)成為了破壞點(diǎn)。”

SolarWinds公司在日前提交給美國網(wǎng)絡(luò)安全聯(lián)盟的一份調(diào)查文件中表示，多達(dá)18,000個(gè)機(jī)構(gòu)和組織受到影響。該公司擁有30萬家客戶，其中包括美國十大電信公司、美國軍方的所有五個(gè)分支機(jī)構(gòu)、美國名列前五的會(huì)計(jì)師事務(wù)所、美國白宮、五角大樓、美國國務(wù)院、美國國家安全局、美國司法部等重要政府部門。

SolarWinds公司還表示，美國財(cái)富500強(qiáng)企業(yè)中有425家公司是該公司的用戶，其中包括福特、柯達(dá)、思科、萬事達(dá)、微軟。

網(wǎng)絡(luò)安全服務(wù)商RedSeal公司首席技術(shù)官M(fèi)ike Lloyd說，SolarWinds Orion的IT監(jiān)控服務(wù)廣泛用于數(shù)據(jù)中心。他說：“基本上，在云平臺(tái)或物理數(shù)據(jù)中心運(yùn)行的任何東西都需要被監(jiān)控，以跟蹤正常運(yùn)行時(shí)間、性能和服務(wù)可用性。這些監(jiān)視工具往往是為了關(guān)注最關(guān)鍵的資產(chǎn)而設(shè)置的。這就是為什么SolarWinds Orion成為網(wǎng)絡(luò)攻擊者重要目標(biāo)的原因。如果看到它所看到的內(nèi)容，則可以有效地看到所有重要內(nèi)容。”

在安裝木馬程序之后，網(wǎng)絡(luò)攻擊者使用它來入侵受害者的某些網(wǎng)絡(luò)并泄露敏感數(shù)據(jù)和電子郵件。已經(jīng)確認(rèn)的案例包括對美國商務(wù)部、美國財(cái)政部以及著名的網(wǎng)絡(luò)安全機(jī)構(gòu)FireEye公司的攻擊。

然而，網(wǎng)絡(luò)攻擊者對FireEye公司的攻擊功虧一簣。FireEye公司發(fā)現(xiàn)了攻擊行為，并有效阻止了其攻擊行為。FireEye公司隨后展開攻勢，以確定網(wǎng)絡(luò)攻擊如何發(fā)生，以及哪些組織受到影響。

FireEye公司表示，它檢測到網(wǎng)絡(luò)攻擊者對全球各地機(jī)構(gòu)和組織的攻擊，其中包括北美、歐洲、亞洲和中東的政府部門、咨詢機(jī)構(gòu)、技術(shù)部門、電信和礦業(yè)公司。

該公司表示：“我們預(yù)計(jì)其他國家和垂直行業(yè)還會(huì)有更多受害者。我們已經(jīng)通知受到所有影響的實(shí)體。”

這并不是首次使用具有破壞性結(jié)果的供應(yīng)鏈攻擊。2017年，NotPetya惡意軟件在全球范圍內(nèi)進(jìn)行攻擊，造成將近100億美元的損失。

網(wǎng)絡(luò)攻擊是如何進(jìn)行的

當(dāng)用戶下載更新時(shí)，對SolarWinds的漏洞進(jìn)行網(wǎng)絡(luò)攻擊(微軟公司稱其為Solorigate，F(xiàn)ireEye公司稱為Sunburst)就會(huì)開始。

事實(shí)證明，SolarWinds公司建議其用戶從反惡意軟件檢查中排除此更新過程。SolarWinds Orion工具幫助用戶監(jiān)控他們的網(wǎng)絡(luò)。該系統(tǒng)的一個(gè)缺陷使攻擊者能夠訪問整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

該惡意軟件通過使用網(wǎng)絡(luò)攻擊者購買的合法域建立的通信服務(wù)器與其制造商進(jìn)行通信，這些合法域已經(jīng)存在了一段時(shí)間。這樣一來，它就可以逃避安全防護(hù)系統(tǒng)，以尋找已知惡意站點(diǎn)或全新域的可疑流量。

FireEye公司在其調(diào)查報(bào)告中指出：“經(jīng)過最初長達(dá)兩周的休眠期之后，它會(huì)檢索并執(zhí)行命令，其中包括傳輸文件和執(zhí)行文件，對系統(tǒng)進(jìn)行配置文件，重新啟動(dòng)計(jì)算機(jī)以及禁用系統(tǒng)服務(wù)的功能。”

該惡意軟件將其活動(dòng)偽裝為合法的Orion改進(jìn)程序流量，并將其偵察結(jié)果存儲(chǔ)在合法的插件配置文件中。它還使用模糊的黑名單來識(shí)別反病毒和其他安全工具。

然后，網(wǎng)絡(luò)攻擊者偽造身份安全令牌，使他們能夠冒充任何用戶或帳戶，包括特權(quán)帳戶，這使他們能夠繞過Office 365等服務(wù)的多因素身份驗(yàn)證，從供應(yīng)商那里進(jìn)入內(nèi)部部署和云端的電子郵件帳戶。

FireEye公司首席執(zhí)行官Kevin Mandia在一份聲明中說：“他們在運(yùn)營安全方面接受過嚴(yán)格的培訓(xùn)，并具有紀(jì)律性和專注力。他們秘密地進(jìn)行操作，使用了應(yīng)對安全工具和法醫(yī)檢查的方法。他們采用了一種新穎的技術(shù)組合，我們過去從未見過這種組合。”

此外，網(wǎng)絡(luò)攻擊者使用其訪問權(quán)限滲透現(xiàn)有用戶帳戶或創(chuàng)建新帳戶，以訪問更多系統(tǒng)。

潛在影響

截至公布之日，已知受害者包括美國智庫FireEye、美國財(cái)政部、美國商務(wù)部、國家衛(wèi)生研究院、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局、美國國土安全部和美國國務(wù)院。

RedSeal公司的Lloyd表示：“這是一個(gè)令人沮喪但重要的認(rèn)識(shí)，用戶可能無法分辨出自己是否真正受到了傷害，如果有可能的話，最好假設(shè)它確實(shí)發(fā)生了。”

到目前為止，網(wǎng)絡(luò)攻擊者的目標(biāo)似乎在不進(jìn)行破壞的情況下獲得信息，而且沒有受害者報(bào)告過對其系統(tǒng)的損害。然而，對于擁有敏感信息的政府機(jī)構(gòu)、承包商和其他組織來說，敏感信息的丟失可能是災(zāi)難性的打擊。

因此，美國國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局日前發(fā)布了一項(xiàng)罕見的緊急指令，命令美國聯(lián)邦機(jī)構(gòu)立即關(guān)閉所有SolarWinds Orion工具，并檢查網(wǎng)絡(luò)是否存在危害跡象。

美國網(wǎng)絡(luò)安全聯(lián)盟代理總監(jiān)Brandon Wales在一份聲明中說：“ SolarWinds Orion網(wǎng)絡(luò)管理產(chǎn)品的漏洞給美國聯(lián)邦網(wǎng)絡(luò)的安全帶來了不可接受的風(fēng)險(xiǎn)。”

451 Research公司分析師Scott Crawford表示，但這并不意味著其他類型的組織應(yīng)該感到安全。

他指出，美國卷入了一場類似的網(wǎng)絡(luò)戰(zhàn)爭，持續(xù)不斷受到網(wǎng)絡(luò)攻擊，這對任何組織都可能造成附帶損害。

Crawford說：“有時(shí)，威脅參與者之間的界限有時(shí)是模糊的。如果他們有共同的目標(biāo)，他們就有充分的理由合作。”

建議和回應(yīng)

任何組織的安全部門負(fù)責(zé)人都應(yīng)采取的第一步是確定其基礎(chǔ)設(shè)施受到何種程度的影響。SolarWinds公司發(fā)布了有關(guān)確定數(shù)據(jù)中心可能運(yùn)行的Orion產(chǎn)品版本的說明。

美國網(wǎng)絡(luò)安全聯(lián)盟建議，針對正在運(yùn)行易受攻擊的SolarWinds產(chǎn)品的每種情況保存操作系統(tǒng)和系統(tǒng)內(nèi)存的映像，以分析新的用戶或服務(wù)帳戶，并檢查存儲(chǔ)的網(wǎng)絡(luò)流量是否存在危害指標(biāo)。

FireEye公司還發(fā)布了危害指標(biāo)列表，并共享了免費(fèi)對策的GitHub存儲(chǔ)庫。

下一步措施是移除、升級或隔離受影響的SolarWinds Orion系統(tǒng)。美國網(wǎng)絡(luò)安全聯(lián)盟建議完全刪除，而SolarWinds公司建議升級和修補(bǔ)。

在無法立即進(jìn)行升級或修補(bǔ)的情況下，SolarWinds建議盡可能隔離系統(tǒng)。并建議在防火墻后運(yùn)行Orion，禁用其互聯(lián)網(wǎng)訪問，將端口和連接限制為絕對必要的端口和連接。接下來，用戶需要?jiǎng)h除所有受損的用戶帳戶和通信通道，包括關(guān)閉對已知受損域和IP地址的所有訪問。

用戶還應(yīng)該重置SolarWinds系統(tǒng)可以訪問的所有憑據(jù)，以及所有特權(quán)帳戶，身份驗(yàn)證密鑰和令牌。

Sophos公司為此推出了一份極其詳細(xì)的事故應(yīng)對行動(dòng)手冊，并在獲得新信息后不斷對其進(jìn)行更新。在清理完成后，用戶可以將系統(tǒng)還原到最后一個(gè)良好狀態(tài)，也可以從受信任的來源重新安裝。

微軟公司還發(fā)布了詳細(xì)的SolarWinds響應(yīng)公告。

為未來做好準(zhǔn)備

研究法規(guī)、風(fēng)險(xiǎn)和合規(guī)性問題的全球性咨詢機(jī)構(gòu)StoneTurn公司的合伙人Luke Tenery說，SolarWinds黑客事件是一個(gè)“分水嶺事件”。

他說，“這個(gè)事件表明即使是最先進(jìn)的組織，即使可能采取某種程度的安全預(yù)防措施，也無法在可信的第三方受到威脅時(shí)檢測到高度先進(jìn)的網(wǎng)絡(luò)攻擊。”

在這個(gè)事件中，行業(yè)領(lǐng)先的安全機(jī)構(gòu) 以及美國政府中一些最關(guān)注安全的部門成為受害者。他表示，這是供應(yīng)鏈攻擊的最大危險(xiǎn)。因?yàn)楹芏嘟M織信任他們的IT供應(yīng)商。

他說，“解決方案是加強(qiáng)供應(yīng)商風(fēng)險(xiǎn)管理。但是，即使是美國最著名的技術(shù)提供商，也要監(jiān)視系統(tǒng)的完整性和預(yù)期行為。”