有消息報道，俄羅斯Cozy Bear團體通過破壞SolarWinds公司旗下的Orion軟件更新，獲得了對政府和其他系統(tǒng)的訪問權(quán)限。大多數(shù)組織并沒有為應(yīng)對這種軟件供應(yīng)鏈攻擊做好準備。

　　前段時間民族國家黑客（nation-state hackers）對大型網(wǎng)絡(luò)安全公司FireEye發(fā)起的入侵，屬于一場大規(guī)模攻擊的一部分，該攻擊通過對一款流行的網(wǎng)絡(luò)監(jiān)控產(chǎn)品進行惡意更新，影響了主要的政府機構(gòu)和公司。本次事件被稱作是網(wǎng)絡(luò)領(lǐng)域的“珍珠港”事件，凸顯了軟件供應(yīng)鏈攻擊可能產(chǎn)生的嚴重影響，以及大多數(shù)組織在預(yù)防和檢測此類威脅方面準備不足的不幸事實。

　　據(jù)信，一個與俄羅斯政府有關(guān)聯(lián)的黑客組織在一場始于2020年3月的長期活動中，獲得了包括美國財政部和商務(wù)部在內(nèi)的多個美國政府部門的電腦系統(tǒng)權(quán)限。這一消息促使美國國家安全委員會于周六召開緊急會議。

　　在此次攻擊中，黑客入侵了SolarWinds公司（該公司生產(chǎn)一種名為Orion的網(wǎng)絡(luò)和應(yīng)用監(jiān)控平臺）的基礎(chǔ)設(shè)施，然后利用這一權(quán)限制作并向軟件用戶分發(fā)含有木馬的更新程序。在消息傳出后被撤下的網(wǎng)站頁面上，SolarWinds表示，其客戶包括美國財富500強中的425家、美國十大電信公司、美國五大會計師事務(wù)所、美國軍方所有部門、五角大樓、國務(wù)院以及全球數(shù)百所大學(xué)和學(xué)院。

　　SolarWinds軟件供應(yīng)鏈攻擊還使黑客進入了美國網(wǎng)絡(luò)安全公司FireEye的網(wǎng)絡(luò)，這起入侵事件已于上周官宣。盡管FireEye沒有指明具體的攻擊組織，但《華盛頓郵報》報道稱，該組織是俄羅斯對外情報局SVR的黑客部門——APT29或稱Cozy Bear。

　　“FireEye已經(jīng)在全球多個實體中檢測到這一攻擊活動，”該公司在一份咨詢報告中表示，“受害者包括北美，歐洲，亞洲和中東的政府、咨詢、科技、電信和采礦業(yè)實體。我們預(yù)計在其他國家和垂直行業(yè)還有更多的受害者。FireEye已經(jīng)通知了所有已知受影響的實體?！?/p>

　　01 惡意的Orion更新

　　2020年3月至2020年6月期間發(fā)布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能含有木馬組件。然而，F(xiàn)ireEye在其分析中指出，每一次攻擊行為都需要攻擊者精心策劃和手動交互。

　　攻擊者設(shè)法篡改了一個名為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件，該插件作為Orion平臺更新的一部分被分發(fā)。該木馬組件經(jīng)過數(shù)字簽名，并包含一個后門，可以與攻擊者控制的第三方服務(wù)器通信的。FireEye將該組件命名為SUNBURST進行追蹤，并在GitHub上發(fā)布了該組件的開源檢測規(guī)則。

　　“在長達兩周的初始休眠期之后，它會檢索并執(zhí)行名為‘Jobs’的命令，該命令具有傳輸文件、執(zhí)行文件、配置系統(tǒng)、重啟機器和禁用系統(tǒng)服務(wù)等能力，”FireEye分析師說，

　　“該惡意軟件將其網(wǎng)絡(luò)流量偽裝成Orion改進計劃（OIP）協(xié)議，并將偵察結(jié)果保存在合法的插件配置文件中，使其能夠隱匿于合法的SolarWinds活動中。該后門使用多個混淆的黑名單列表來識別以進程、服務(wù)和驅(qū)動程序等方式運行的取證和反病毒工具?！?/p>

　　攻擊者盡可能讓惡意軟件匿影藏形，他們更傾向于使用竊取來的憑證在網(wǎng)絡(luò)中進行橫向移動，并開放合法的遠程訪問權(quán)限。后門被用來傳送一個前所未見的輕量級惡意軟件dropper， FireEye將其稱為TEARDROP。該dropper直接在內(nèi)存中加載，不會在磁盤上留下痕跡。

　　研究人員認為，它被用來部署定制版的Cobalt Strike BEACON 載荷。Cobalt Strike是一種為紅隊設(shè)計的商業(yè)滲透測試框架和后攻擊代理程序，也受到黑客和老練的網(wǎng)絡(luò)犯罪集團青睞。

　　為了規(guī)避檢測，攻擊者使用臨時文件替換技術(shù)來遠程執(zhí)行他們的工具。這意味著他們用自己的惡意工具修改了目標系統(tǒng)上的合法工具，執(zhí)行它，然后用替換回合法工具。類似的技術(shù)還包括臨時修改系統(tǒng)計劃任務(wù)，方法是更新一個合法任務(wù)來執(zhí)行一個惡意工具，然后將任務(wù)恢復(fù)回原來的配置。

　　“防御者可以檢查顯示訪問合法目錄的SMB會話日志，查找短時間內(nèi)遵循”刪除-創(chuàng)建-執(zhí)行-刪除-創(chuàng)建“模式的日志，”FireEye研究人員說，“此外，防御者還可以通過頻率分析來識別任務(wù)的異常修改，從而監(jiān)控現(xiàn)有計劃任務(wù)的臨時更新。還可以監(jiān)控任務(wù)本身，觀察是否有合法的Windows任務(wù)執(zhí)行新增或未知的二進制文件?！?/p>

　　該攻擊者專注于規(guī)避檢測，并利用已有的信任關(guān)系，在FireEye所觀察到的所有威脅者展現(xiàn)出的操作安全性中鶴立雞群。然而，該公司的研究人員認為，這些攻擊可以通過持續(xù)防御來檢測，并在其咨詢報告中介紹了多種檢測技術(shù)。

　　SolarWinds建議客戶盡快升級到Orion Platform 2020.2.1 HF 1版本，以確保他們運行的是無害版本的產(chǎn)品。該公司還計劃在發(fā)布一個新的熱補丁2020.2.1 HF 2，該補丁將替換受損組件，并進行額外的安全增強。

　　美國國土安全部也已經(jīng)發(fā)出緊急指令，要求政府機構(gòu)檢查自己的網(wǎng)絡(luò)是否存在木馬組件，并進行匯報。

　　02 難尋的解決方案

　　軟件供應(yīng)鏈攻擊并不是一個新生事物，安全專家多年來一直警告說它們是最難防范的威脅類型，因為它們利用了供應(yīng)商和客戶之間的信任關(guān)系，以及機器與機器之間的通信渠道（如軟件更新機制），而這些渠道本身就受到用戶信賴。

　　早在2012年，研究人員就發(fā)現(xiàn)，網(wǎng)絡(luò)間諜惡意軟件Flame背后的攻擊者利用一種針對MD5文件散列協(xié)議的密碼學(xué)攻擊，使他們的惡意軟件看起來好像是由微軟合法簽署的，并通過Windows更新機制向目標分發(fā)。這并不是軟件開發(fā)商微軟本身受到攻擊，而是攻擊者利用了Windows Update文件檢查中的一個漏洞，表明軟件更新機制可以為虎作倀。

　　2017年，卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)了一個APT組織（被稱為Winnti）的軟件供應(yīng)鏈攻擊，該攻擊入侵了NetSarang公司的基礎(chǔ)設(shè)施。而NetSarang公司是一家生產(chǎn)服務(wù)器管理軟件的公司，這使得攻擊者能夠分發(fā)帶有該公司合法證書數(shù)字簽名的含有木馬的產(chǎn)品。同一批攻擊者后來又侵入了Avast子公司CCleaner的開發(fā)基礎(chǔ)設(shè)施，并向超過220萬用戶分發(fā)了含有木馬的程序。去年，攻擊者劫持了電腦制造商ASUSTeK Computer的更新基礎(chǔ)設(shè)施，并向用戶分發(fā)了惡意版本的ASUS Live Update Utility。

　　“據(jù)我所知沒有任何組織已將供應(yīng)鏈攻擊納入威脅建模中，”前NSA黑客、安全咨詢公司TrustedSec的創(chuàng)始人David Kennedy告訴CSO。“說到SolarWinds發(fā)生的事情，這是一個典型的例子，攻擊者可以從字面意義上”選取“任意部署了其產(chǎn)品的目標，而這些目標是許多來自全球各地的公司，且從檢測和預(yù)防的角度來看大多數(shù)組織并沒有能力做出響應(yīng)。這不該是當今安全領(lǐng)域發(fā)生的討論。”

　　雖然部署在組織中的軟件可能會進行安全審查，以了解其開發(fā)人員在修補可能被利用的產(chǎn)品漏洞方面是否具備良好的安全實踐。但組織并沒有考慮到如果其更新機制被破壞，該軟件會如何影響其基礎(chǔ)設(shè)施，肯尼迪說道。“關(guān)于這點我們還不夠成熟，也不存在一勞永逸的解決方案，因為公司需要軟件來維持他們組織的運行，他們需要技術(shù)來擴大影響力并保持競爭力，但提供這些軟件的組織卻沒有把這個作為威脅模型來考慮。”

　　肯尼迪認為，首先軟件開發(fā)人員應(yīng)該深入考慮如何始終保護其代碼的完整性，同時還需要考慮如何在設(shè)計產(chǎn)品時將客戶面臨的風(fēng)險降到最低。

　　“通常在構(gòu)建軟件時，你會從外向內(nèi)考慮威脅模型，而不是由內(nèi)而外，”肯尼迪說，“這是很多人都需要關(guān)注的領(lǐng)域：如何設(shè)計我們的架構(gòu)基礎(chǔ)設(shè)施以對此類攻擊更具抵抗力？我們是否有辦法通過最大限度地減少[產(chǎn)品]架構(gòu)中的基礎(chǔ)設(shè)施來阻止諸多此類攻擊？例如，將 SolarWinds Orion限制在獨立的環(huán)境中，僅開放其正常運行所需的通信流量。一般來說，為對手帶來盡可能多的麻煩是一種很好的安全實踐，這樣即使他們成功攻陷了你正在運行的代碼，他們也很難達到他們想要的目的?！?/p>

　　企業(yè)作為軟件的使用者，也應(yīng)當開始考慮不僅僅將零信任網(wǎng)絡(luò)原則和基于角色的訪問控制應(yīng)用于用戶，還應(yīng)當應(yīng)用于應(yīng)用程序和服務(wù)器。正如不是每個用戶或設(shè)備都應(yīng)該能夠訪問網(wǎng)絡(luò)上的任意應(yīng)用程序或服務(wù)器一樣，不是每個服務(wù)器或應(yīng)用程序都應(yīng)該能夠與網(wǎng)絡(luò)上的其他服務(wù)器和應(yīng)用程序進行通信。在將任何新的軟件或技術(shù)部署到網(wǎng)絡(luò)中時，公司應(yīng)該捫心自問如果該產(chǎn)品由于惡意更新而導(dǎo)致失陷的后果將會如何，并嘗試將控制措施落實到位，以盡可能降低影響。

　　未來軟件供應(yīng)鏈攻擊的數(shù)量很可能會持續(xù)增加，尤其是該類攻擊的成功性和廣泛性有目共睹。在2017年的WannaCry和NotPetya攻擊之后，針對組織的勒索軟件攻擊數(shù)量爆炸性增長，因為它們向攻擊者表明，企業(yè)網(wǎng)絡(luò)并不像他們認為的那樣具有抵抗此類攻擊的彈性。從那時起，許多網(wǎng)絡(luò)犯罪團伙開始采用先進的技術(shù)，使他們可以與民族國家的網(wǎng)絡(luò)間諜行為者比肩。

　　勒索軟件團伙也已經(jīng)明白利用供應(yīng)鏈的價值，并開始入侵托管服務(wù)提供商，利用漏洞接入到客戶的網(wǎng)絡(luò)。NotPetya本身就含有供應(yīng)鏈成分，因為該勒索蠕蟲最初是通過一款流行于東歐名為M.E.Doc的會計軟件中含有后門的軟件更新服務(wù)器發(fā)起的。

　　有組織的犯罪團伙和其他民族國家集團現(xiàn)在都將這次攻擊視為“哇，真是一次非常成功的行動，”肯尼迪說。從勒索軟件的角度來看，如果同時攻擊所有安裝了SolarWinds Orion的組織，他們原本可以加密世界上絕大部分基礎(chǔ)設(shè)施，并賺取足以金盆洗手的資金?！八麄兓蛟S明白，倘若要進行上述這種攻擊，他們的精細化程度還有待提高。但考慮到勒索軟件組織有目共睹的進步以及他們在開發(fā)上投入的巨額資金，這種攻擊并不會很遙遠。所以我堅信我們會親眼見證其他類型的團體也將發(fā)動此類攻擊，而不僅僅是民族國家集團?！?/p>