根据行业媒体的报道,一个名为“Cozy Bear”的黑客组织日前对IT管理软件开发商SolarWinds公司的Orion软件进行了破坏性的网络攻击,从而获得了进入美国政府部门和其他组织IT系统的权限。而大多数部门和组织并没有为这种对软件供应链的网络攻击做好准备。
黑客组织最近对大型网络安全机构FireEye公司的入侵是一次规模更大的网络攻击,该攻击是通过对主流网络监控产品进行恶意更新而实施的,并对一些政府机构和企业造成了影响。该事件凸显了对软件供应链网络攻击可能造成的严重影响,而大多数组织都没有为预防和检测此类威胁做好准备。
今年3月,一个黑客组织在一次网络攻击中获得了访问多个美国政府部门(其中包括美国财政部和美国商务部)服务器系统的权限。这一事件导致美国国家安全委员会当时立即召开紧急会议商议应对和解决。
黑客组织“Cozy Bear”的网络攻击破坏了SolarWinds公司开发的名为“Orion“的网络和应用程序监视平台,然后使用这一访问权限来生成木马并将其分发给软件用户。在这一消息传出之后,SolarWinds公司在其网站上的一个页面宣称,其客户包括美国财富500强中的425家厂商、美国十大电信公司、美国五大会计师事务所、美国军方所有分支机构、五角大楼、美国国务院,以及全球数百所大学和学院。
对SolarWinds公司的软件供应链进行攻击还使黑客能够访问美国网络安全服务商FireEye公司的网络,这一漏洞于日前宣布,尽管FireEye公司没有透露网络攻击者的名称,但据《华盛顿邮报》报道,网络攻击者可能是“APT29“或“Cozy Bear”。
FireEye公司在日前发布的一份咨询报告中表示:“我们已在全球多个实体中检测到这一活动。受害者包括北美、欧洲、亚洲和中东地区的政府部门、咨询机构、科技厂商、电信公司以及矿场,我们预计其他国家和垂直地区还会有更多受害者。我们已经通知受到网络攻击影响的所有实体。”
恶意Orion的更新
2020年3月至2020年6月之间发布的Orion 2019.4 HF 5至2020.2.1版本的软件可能包含木马程序。但是,FireEye公司在分析报告中指出,每一次攻击都需要网络攻击者精心策划和人工交互。
网络攻击者设法修改了一个称为SolarWinds.Orion.Core.BusinessLayer.dll的Orion平台插件,该插件是作为Orion平台更新的一部分分发的。这一木马组件经过数字签名,并包含一个后门,可与网络攻击者控制的第三方服务器进行通信。FireEye公司将该组件作为SUNBURST进行跟踪,并已在GitHub上发布了开源检测规则。
FireEye公司分析师说:“在最初长达两周的休眠期之后,它会检索并执行名为‘作业’的命令,这些命令包括传输文件、执行文件、分析系统、重新启动机器以及禁用系统服务。这一恶意软件将其网络流量伪装成Orion改进计划(OIP)协议,并将侦察结果存储在合法的插件配置文件中,使其能够与合法的SolarWinds活动相融合。其后门使用多个混淆的阻止列表来识别正在运行的取证和防病毒工具作为流程、服务和驱动程序。”
网络攻击者将他们的恶意软件覆盖率保持在很低的水平,他们更喜欢窃取并使用凭据,在网络中执行横向移动并建立合法的远程访问。其后门用来交付一个轻量级的恶意软件删除程序,该程序从未被发现过,并且被FireEye公司称为TEARDROP。这个程序直接加载到内存中,不会在硬盘上留下痕迹。研究人员认为,它被用来部署定制版的Cobalt Strike BEACON有效载荷。Cobalt Strike是一种商业渗透测试框架和开发代理,也已被黑客和复杂的网络犯罪组织所采用和使用。
为了避免检测,网络攻击者使用临时文件替换技术远程执行其工具。这意味着他们用他们的恶意工具修改了目标系统上的合法实用程序,在执行之后,然后用合法的工具替换了它。类似的技术包括通过更新合法任务以执行恶意工具,然后将任务还原为其原始配置,从而临时修改系统计划的任务。
FireEye公司研究人员说:“防御者可以检查SMB会话的日志,以显示对合法目录的访问,并在很短的时间内遵循删除、创建、执行、创建的模式。此外,防御者可以使用频率分析来识别任务的异常修改,从而监视现有的计划任务以进行临时更新。还可以监视任务以监视执行新的或未知二进制文件的合法任务。”
这是FireEye公司所观察到的威胁参与者所展示的最好的操作安全性,它专注于检测规避和利用现有的信任关系。不过,该公司的研究人员认为,这些网络攻击可以通过持续防御进行检测,并在其咨询报告中描述了多种检测技术。
SolarWinds公司建议客户尽快升级到Orion Platform版本2020.2.1 HF 1,以确保他们正在运行产品的全新版本。该公司还计划发布一个新的修补程序2020.2.1 HF 2,它将替换受感染的组件并进一步增强安全性。
美国国土安全部还向政府组织发布了一项紧急指令,以检查其网络中是否存在木马组件并进行报告。
并没有有效的解决方案
对软件供应链的网络攻击并不是什么新事物,安全专家多年来一直警告说,这是最难防范的威胁之一,因为它们利用了供应商和客户之间的信任关系以及机器对机器的通信渠道,例如用户固有信任的软件更新机制。
早在2012年,研究人员发现Flame恶意软件的网络攻击者使用了针对MD5文件哈希协议的加密攻击,使他们的恶意软件看起来像是由Microsoft合法签名的,并通过Windows Update机制分发给目标。这并不是软件开发商本身(微软公司)遭到网络攻击,但是网络攻击者利用了Windows Update文件检查中的漏洞,证明可以充分利用软件更新机制。
2017年,卡巴斯基实验室的安全研究人员发现了一个名为Winnti的APT组织的软件供应链攻击,该攻击涉及侵入制造服务器管理软件提供商NetSarang公司的基础设施,该软件允许他们分发产品的木马版本。采用NetSarang公司合法证书实施数字签名。后来,这些网络攻击者入侵了Avast子公司CCleaner的开发基础设施,并向220多万用户分发了该程序的木马版本。去年,网络攻击者劫持了计算机制造商ASUSTeK Computer的更新基础设施,并向用户分发了ASUS Live Update Utility的恶意版本。
安全咨询机构TrustedSec公司创始人David Kennedy说,“从威胁建模的角度来看,我不知道有任何组织将供应链攻击整合到他们的环境中。当查看SolarWinds的情况时,这是一个很好的例子,表明网络攻击者可以选择已部署产品的任何目标,而这些目标是世界各地的许多公司,并且大多数组织都无法检测和预防。”
虽然部署在组织中的软件可能会经过安全审查,以了解开发人员是否具有良好的安全实践,以修补可能被利用的产品漏洞,但组织不会考虑如果其更新机制受到影响,该软件将如何影响其基础设施。Kennedy说,“我们在这方面还很不成熟,而且也没有简单有效的解决方案,因为很多组织需要软件来运行他们的工作负载,他们需要采用新技术来扩大存在并保持竞争力,而提供软件的组织却没有将其视为威胁模型。”
Kennedy认为,首先应该从软件开发人员开始,并更多地考虑如何始终保护其代码完整性,同时还要考虑如何在设计产品时尽量降低风险。
他说:“很多时候,当组织在构建软件时,将会构建一个由外而内的威胁模型,但并非总是从内而外地考虑。这是很多人需要关注的领域:如何设计架构和基础设施使其更能抵御这些类型的攻击?是否有办法通过最小化产品架构中的基础设施来阻止许多这样的攻击?例如,把SolarWinds公司Orion保留在自己的孤岛中,这样就可以使通信正常工作,但仅此而已。一般来说,良好的安全实施是为对手创造尽可能多的复杂性,这样即使他们成功了,而且正在运行的代码也遭到了破坏,网络攻击者也很难实现他们的目标。”
作为软件公司,也应该开始考虑将零信任网络原则和基于角色的访问控制不仅应用于用户,还应用于应用程序和服务器。正如并非每个用户或设备都能够访问网络上的任何应用程序或服务器一样,并不是每个服务器或应用程序都能够与网络上的其他服务器和应用程序进行通信。在将新软件或技术部署到他们的网络中时,组织应该问自己:如果该产品由于恶意更新而受到威胁将会发生什么情况?他们需要尝试采取控制措施,以尽可能减少影响。
对于软件供应链的网络攻击的数量在未来可能会增加,尤其是在其他网络攻击者看到其成功和广泛性时。在2017年遭遇WannaCry和NotPetya网络攻击之后,针对组织的勒索软件攻击数量激增,因为它们向网络攻击者表明其网络的抵抗力不如他们认为的那样。从那以后,许多网络犯罪组织采用了先进的技术。
勒索软件组织也了解利用供应链的价值,并已开始攻击托管服务提供商,以利用其对客户网络的访问权。NotPetya本身有一个供应链组件,因为勒索软件蠕虫最初是通过称为M.E.Doc的计费软件的后门软件更新服务器启动的,该计费软件在东欧国家很流行。
Kennedy表示,黑客组织将这次袭击视为一次非常成功的网络攻击。从勒索软件的角度来看,他们同时攻击安装了SolarWinds Orion平台的所有组织。他说,“黑客可能知道,对于这种类型的网络攻击,需要提高复杂性,但是考虑到从勒索软件团体中看到的进步以及他们投入的资金,这并不是一件容易的事。但我认为以后还会看出现这种情况。”