有消息報(bào)道，俄羅斯Cozy Bear團(tuán)體通過破壞SolarWinds公司旗下的Orion軟件更新，獲得了對(duì)政府和其他系統(tǒng)的訪問權(quán)限。大多數(shù)組織并沒有為應(yīng)對(duì)這種軟件供應(yīng)鏈攻擊做好準(zhǔn)備。

　　前段時(shí)間民族國家黑客（nation-state hackers）對(duì)大型網(wǎng)絡(luò)安全公司FireEye發(fā)起的入侵，屬于一場(chǎng)大規(guī)模攻擊的一部分，該攻擊通過對(duì)一款流行的網(wǎng)絡(luò)監(jiān)控產(chǎn)品進(jìn)行惡意更新，影響了主要的政府機(jī)構(gòu)和公司。本次事件被稱作是網(wǎng)絡(luò)領(lǐng)域的“珍珠港”事件，凸顯了軟件供應(yīng)鏈攻擊可能產(chǎn)生的嚴(yán)重影響，以及大多數(shù)組織在預(yù)防和檢測(cè)此類威脅方面準(zhǔn)備不足的不幸事實(shí)。

　　據(jù)信，一個(gè)與俄羅斯政府有關(guān)聯(lián)的黑客組織在一場(chǎng)始于2020年3月的長期活動(dòng)中，獲得了包括美國財(cái)政部和商務(wù)部在內(nèi)的多個(gè)美國政府部門的電腦系統(tǒng)權(quán)限。這一消息促使美國國家安全委員會(huì)于周六召開緊急會(huì)議。

　　在此次攻擊中，黑客入侵了SolarWinds公司（該公司生產(chǎn)一種名為Orion的網(wǎng)絡(luò)和應(yīng)用監(jiān)控平臺(tái)）的基礎(chǔ)設(shè)施，然后利用這一權(quán)限制作并向軟件用戶分發(fā)含有木馬的更新程序。在消息傳出后被撤下的網(wǎng)站頁面上，SolarWinds表示，其客戶包括美國財(cái)富500強(qiáng)中的425家、美國十大電信公司、美國五大會(huì)計(jì)師事務(wù)所、美國軍方所有部門、五角大樓、國務(wù)院以及全球數(shù)百所大學(xué)和學(xué)院。

　　SolarWinds軟件供應(yīng)鏈攻擊還使黑客進(jìn)入了美國網(wǎng)絡(luò)安全公司FireEye的網(wǎng)絡(luò)，這起入侵事件已于上周官宣。盡管FireEye沒有指明具體的攻擊組織，但《華盛頓郵報(bào)》報(bào)道稱，該組織是俄羅斯對(duì)外情報(bào)局SVR的黑客部門——APT29或稱Cozy Bear。

　　“FireEye已經(jīng)在全球多個(gè)實(shí)體中檢測(cè)到這一攻擊活動(dòng)，”該公司在一份咨詢報(bào)告中表示，“受害者包括北美，歐洲，亞洲和中東的政府、咨詢、科技、電信和采礦業(yè)實(shí)體。我們預(yù)計(jì)在其他國家和垂直行業(yè)還有更多的受害者。FireEye已經(jīng)通知了所有已知受影響的實(shí)體?！?/p>

　　01 惡意的Orion更新

　　2020年3月至2020年6月期間發(fā)布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能含有木馬組件。然而，F(xiàn)ireEye在其分析中指出，每一次攻擊行為都需要攻擊者精心策劃和手動(dòng)交互。

　　攻擊者設(shè)法篡改了一個(gè)名為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺(tái)插件，該插件作為Orion平臺(tái)更新的一部分被分發(fā)。該木馬組件經(jīng)過數(shù)字簽名，并包含一個(gè)后門，可以與攻擊者控制的第三方服務(wù)器通信的。FireEye將該組件命名為SUNBURST進(jìn)行追蹤，并在GitHub上發(fā)布了該組件的開源檢測(cè)規(guī)則。

　　“在長達(dá)兩周的初始休眠期之后，它會(huì)檢索并執(zhí)行名為‘Jobs’的命令，該命令具有傳輸文件、執(zhí)行文件、配置系統(tǒng)、重啟機(jī)器和禁用系統(tǒng)服務(wù)等能力，”FireEye分析師說，

　　“該惡意軟件將其網(wǎng)絡(luò)流量偽裝成Orion改進(jìn)計(jì)劃（OIP）協(xié)議，并將偵察結(jié)果保存在合法的插件配置文件中，使其能夠隱匿于合法的SolarWinds活動(dòng)中。該后門使用多個(gè)混淆的黑名單列表來識(shí)別以進(jìn)程、服務(wù)和驅(qū)動(dòng)程序等方式運(yùn)行的取證和反病毒工具?！?/p>

　　攻擊者盡可能讓惡意軟件匿影藏形，他們更傾向于使用竊取來的憑證在網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)，并開放合法的遠(yuǎn)程訪問權(quán)限。后門被用來傳送一個(gè)前所未見的輕量級(jí)惡意軟件dropper， FireEye將其稱為TEARDROP。該dropper直接在內(nèi)存中加載，不會(huì)在磁盤上留下痕跡。

　　研究人員認(rèn)為，它被用來部署定制版的Cobalt Strike BEACON 載荷。Cobalt Strike是一種為紅隊(duì)設(shè)計(jì)的商業(yè)滲透測(cè)試框架和后攻擊代理程序，也受到黑客和老練的網(wǎng)絡(luò)犯罪集團(tuán)青睞。

　　為了規(guī)避檢測(cè)，攻擊者使用臨時(shí)文件替換技術(shù)來遠(yuǎn)程執(zhí)行他們的工具。這意味著他們用自己的惡意工具修改了目標(biāo)系統(tǒng)上的合法工具，執(zhí)行它，然后用替換回合法工具。類似的技術(shù)還包括臨時(shí)修改系統(tǒng)計(jì)劃任務(wù)，方法是更新一個(gè)合法任務(wù)來執(zhí)行一個(gè)惡意工具，然后將任務(wù)恢復(fù)回原來的配置。

　　“防御者可以檢查顯示訪問合法目錄的SMB會(huì)話日志，查找短時(shí)間內(nèi)遵循”刪除-創(chuàng)建-執(zhí)行-刪除-創(chuàng)建“模式的日志，”FireEye研究人員說，“此外，防御者還可以通過頻率分析來識(shí)別任務(wù)的異常修改，從而監(jiān)控現(xiàn)有計(jì)劃任務(wù)的臨時(shí)更新。還可以監(jiān)控任務(wù)本身，觀察是否有合法的Windows任務(wù)執(zhí)行新增或未知的二進(jìn)制文件?！?/p>

　　該攻擊者專注于規(guī)避檢測(cè)，并利用已有的信任關(guān)系，在FireEye所觀察到的所有威脅者展現(xiàn)出的操作安全性中鶴立雞群。然而，該公司的研究人員認(rèn)為，這些攻擊可以通過持續(xù)防御來檢測(cè)，并在其咨詢報(bào)告中介紹了多種檢測(cè)技術(shù)。

　　SolarWinds建議客戶盡快升級(jí)到Orion Platform 2020.2.1 HF 1版本，以確保他們運(yùn)行的是無害版本的產(chǎn)品。該公司還計(jì)劃在發(fā)布一個(gè)新的熱補(bǔ)丁2020.2.1 HF 2，該補(bǔ)丁將替換受損組件，并進(jìn)行額外的安全增強(qiáng)。

　　美國國土安全部也已經(jīng)發(fā)出緊急指令，要求政府機(jī)構(gòu)檢查自己的網(wǎng)絡(luò)是否存在木馬組件，并進(jìn)行匯報(bào)。

　　02 難尋的解決方案

　　軟件供應(yīng)鏈攻擊并不是一個(gè)新生事物，安全專家多年來一直警告說它們是最難防范的威脅類型，因?yàn)樗鼈兝昧斯?yīng)商和客戶之間的信任關(guān)系，以及機(jī)器與機(jī)器之間的通信渠道（如軟件更新機(jī)制），而這些渠道本身就受到用戶信賴。

　　早在2012年，研究人員就發(fā)現(xiàn)，網(wǎng)絡(luò)間諜惡意軟件Flame背后的攻擊者利用一種針對(duì)MD5文件散列協(xié)議的密碼學(xué)攻擊，使他們的惡意軟件看起來好像是由微軟合法簽署的，并通過Windows更新機(jī)制向目標(biāo)分發(fā)。這并不是軟件開發(fā)商微軟本身受到攻擊，而是攻擊者利用了Windows Update文件檢查中的一個(gè)漏洞，表明軟件更新機(jī)制可以為虎作倀。

　　2017年，卡巴斯基實(shí)驗(yàn)室的安全研究人員發(fā)現(xiàn)了一個(gè)APT組織（被稱為Winnti）的軟件供應(yīng)鏈攻擊，該攻擊入侵了NetSarang公司的基礎(chǔ)設(shè)施。而NetSarang公司是一家生產(chǎn)服務(wù)器管理軟件的公司，這使得攻擊者能夠分發(fā)帶有該公司合法證書數(shù)字簽名的含有木馬的產(chǎn)品。同一批攻擊者后來又侵入了Avast子公司CCleaner的開發(fā)基礎(chǔ)設(shè)施，并向超過220萬用戶分發(fā)了含有木馬的程序。去年，攻擊者劫持了電腦制造商ASUSTeK Computer的更新基礎(chǔ)設(shè)施，并向用戶分發(fā)了惡意版本的ASUS Live Update Utility。

　　“據(jù)我所知沒有任何組織已將供應(yīng)鏈攻擊納入威脅建模中，”前NSA黑客、安全咨詢公司TrustedSec的創(chuàng)始人David Kennedy告訴CSO。“說到SolarWinds發(fā)生的事情，這是一個(gè)典型的例子，攻擊者可以從字面意義上”選取“任意部署了其產(chǎn)品的目標(biāo)，而這些目標(biāo)是許多來自全球各地的公司，且從檢測(cè)和預(yù)防的角度來看大多數(shù)組織并沒有能力做出響應(yīng)。這不該是當(dāng)今安全領(lǐng)域發(fā)生的討論?！?/p>

　　雖然部署在組織中的軟件可能會(huì)進(jìn)行安全審查，以了解其開發(fā)人員在修補(bǔ)可能被利用的產(chǎn)品漏洞方面是否具備良好的安全實(shí)踐。但組織并沒有考慮到如果其更新機(jī)制被破壞，該軟件會(huì)如何影響其基礎(chǔ)設(shè)施，肯尼迪說道?！瓣P(guān)于這點(diǎn)我們還不夠成熟，也不存在一勞永逸的解決方案，因?yàn)楣拘枰浖砭S持他們組織的運(yùn)行，他們需要技術(shù)來擴(kuò)大影響力并保持競(jìng)爭(zhēng)力，但提供這些軟件的組織卻沒有把這個(gè)作為威脅模型來考慮?！?/p>

　　肯尼迪認(rèn)為，首先軟件開發(fā)人員應(yīng)該深入考慮如何始終保護(hù)其代碼的完整性，同時(shí)還需要考慮如何在設(shè)計(jì)產(chǎn)品時(shí)將客戶面臨的風(fēng)險(xiǎn)降到最低。

　　“通常在構(gòu)建軟件時(shí)，你會(huì)從外向內(nèi)考慮威脅模型，而不是由內(nèi)而外，”肯尼迪說，“這是很多人都需要關(guān)注的領(lǐng)域：如何設(shè)計(jì)我們的架構(gòu)基礎(chǔ)設(shè)施以對(duì)此類攻擊更具抵抗力？我們是否有辦法通過最大限度地減少[產(chǎn)品]架構(gòu)中的基礎(chǔ)設(shè)施來阻止諸多此類攻擊？例如，將 SolarWinds Orion限制在獨(dú)立的環(huán)境中，僅開放其正常運(yùn)行所需的通信流量。一般來說，為對(duì)手帶來盡可能多的麻煩是一種很好的安全實(shí)踐，這樣即使他們成功攻陷了你正在運(yùn)行的代碼，他們也很難達(dá)到他們想要的目的?！?/p>

　　企業(yè)作為軟件的使用者，也應(yīng)當(dāng)開始考慮不僅僅將零信任網(wǎng)絡(luò)原則和基于角色的訪問控制應(yīng)用于用戶，還應(yīng)當(dāng)應(yīng)用于應(yīng)用程序和服務(wù)器。正如不是每個(gè)用戶或設(shè)備都應(yīng)該能夠訪問網(wǎng)絡(luò)上的任意應(yīng)用程序或服務(wù)器一樣，不是每個(gè)服務(wù)器或應(yīng)用程序都應(yīng)該能夠與網(wǎng)絡(luò)上的其他服務(wù)器和應(yīng)用程序進(jìn)行通信。在將任何新的軟件或技術(shù)部署到網(wǎng)絡(luò)中時(shí)，公司應(yīng)該捫心自問如果該產(chǎn)品由于惡意更新而導(dǎo)致失陷的后果將會(huì)如何，并嘗試將控制措施落實(shí)到位，以盡可能降低影響。

　　未來軟件供應(yīng)鏈攻擊的數(shù)量很可能會(huì)持續(xù)增加，尤其是該類攻擊的成功性和廣泛性有目共睹。在2017年的WannaCry和NotPetya攻擊之后，針對(duì)組織的勒索軟件攻擊數(shù)量爆炸性增長，因?yàn)樗鼈兿蚬粽弑砻?，企業(yè)網(wǎng)絡(luò)并不像他們認(rèn)為的那樣具有抵抗此類攻擊的彈性。從那時(shí)起，許多網(wǎng)絡(luò)犯罪團(tuán)伙開始采用先進(jìn)的技術(shù)，使他們可以與民族國家的網(wǎng)絡(luò)間諜行為者比肩。

　　勒索軟件團(tuán)伙也已經(jīng)明白利用供應(yīng)鏈的價(jià)值，并開始入侵托管服務(wù)提供商，利用漏洞接入到客戶的網(wǎng)絡(luò)。NotPetya本身就含有供應(yīng)鏈成分，因?yàn)樵摾账魅湎x最初是通過一款流行于東歐名為M.E.Doc的會(huì)計(jì)軟件中含有后門的軟件更新服務(wù)器發(fā)起的。

　　有組織的犯罪團(tuán)伙和其他民族國家集團(tuán)現(xiàn)在都將這次攻擊視為“哇，真是一次非常成功的行動(dòng)，”肯尼迪說。從勒索軟件的角度來看，如果同時(shí)攻擊所有安裝了SolarWinds Orion的組織，他們?cè)究梢约用苁澜缟辖^大部分基礎(chǔ)設(shè)施，并賺取足以金盆洗手的資金。“他們或許明白，倘若要進(jìn)行上述這種攻擊，他們的精細(xì)化程度還有待提高。但考慮到勒索軟件組織有目共睹的進(jìn)步以及他們?cè)陂_發(fā)上投入的巨額資金，這種攻擊并不會(huì)很遙遠(yuǎn)。所以我堅(jiān)信我們會(huì)親眼見證其他類型的團(tuán)體也將發(fā)動(dòng)此類攻擊，而不僅僅是民族國家集團(tuán)。”