根據(jù)行業(yè)媒體的報道，一個名為“Cozy Bear”的黑客組織日前對IT管理軟件開發(fā)商SolarWinds公司的Orion軟件進行了破壞性的網絡攻擊，從而獲得了進入美國政府部門和其他組織IT系統(tǒng)的權限。而大多數(shù)部門和組織并沒有為這種對軟件供應鏈的網絡攻擊做好準備。

[[359232]]

黑客組織最近對大型網絡安全機構FireEye公司的入侵是一次規(guī)模更大的網絡攻擊，該攻擊是通過對主流網絡監(jiān)控產品進行惡意更新而實施的，并對一些政府機構和企業(yè)造成了影響。該事件凸顯了對軟件供應鏈網絡攻擊可能造成的嚴重影響，而大多數(shù)組織都沒有為預防和檢測此類威脅做好準備。

今年3月，一個黑客組織在一次網絡攻擊中獲得了訪問多個美國政府部門(其中包括美國財政部和美國商務部)服務器系統(tǒng)的權限。這一事件導致美國國家安全委員會當時立即召開緊急會議商議應對和解決。

黑客組織“Cozy Bear”的網絡攻擊破壞了SolarWinds公司開發(fā)的名為“Orion“的網絡和應用程序監(jiān)視平臺，然后使用這一訪問權限來生成木馬并將其分發(fā)給軟件用戶。在這一消息傳出之后，SolarWinds公司在其網站上的一個頁面宣稱，其客戶包括美國財富500強中的425家廠商、美國十大電信公司、美國五大會計師事務所、美國軍方所有分支機構、五角大樓、美國國務院，以及全球數(shù)百所大學和學院。

對SolarWinds公司的軟件供應鏈進行攻擊還使黑客能夠訪問美國網絡安全服務商FireEye公司的網絡，這一漏洞于日前宣布，盡管FireEye公司沒有透露網絡攻擊者的名稱，但據(jù)《華盛頓郵報》報道，網絡攻擊者可能是“APT29“或“Cozy Bear”。

FireEye公司在日前發(fā)布的一份咨詢報告中表示：“我們已在全球多個實體中檢測到這一活動。受害者包括北美、歐洲、亞洲和中東地區(qū)的政府部門、咨詢機構、科技廠商、電信公司以及礦場，我們預計其他國家和垂直地區(qū)還會有更多受害者。我們已經通知受到網絡攻擊影響的所有實體。”

惡意Orion的更新

2020年3月至2020年6月之間發(fā)布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能包含木馬程序。但是，F(xiàn)ireEye公司在分析報告中指出，每一次攻擊都需要網絡攻擊者精心策劃和人工交互。

網絡攻擊者設法修改了一個稱為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件，該插件是作為Orion平臺更新的一部分分發(fā)的。這一木馬組件經過數(shù)字簽名，并包含一個后門，可與網絡攻擊者控制的第三方服務器進行通信。FireEye公司將該組件作為SUNBURST進行跟蹤，并已在GitHub上發(fā)布了開源檢測規(guī)則。

FireEye公司分析師說：“在最初長達兩周的休眠期之后，它會檢索并執(zhí)行名為‘作業(yè)’的命令，這些命令包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重新啟動機器以及禁用系統(tǒng)服務。這一惡意軟件將其網絡流量偽裝成Orion改進計劃(OIP)協(xié)議，并將偵察結果存儲在合法的插件配置文件中，使其能夠與合法的SolarWinds活動相融合。其后門使用多個混淆的阻止列表來識別正在運行的取證和防病毒工具作為流程、服務和驅動程序。”

網絡攻擊者將他們的惡意軟件覆蓋率保持在很低的水平，他們更喜歡竊取并使用憑據(jù)，在網絡中執(zhí)行橫向移動并建立合法的遠程訪問。其后門用來交付一個輕量級的惡意軟件刪除程序，該程序從未被發(fā)現(xiàn)過，并且被FireEye公司稱為TEARDROP。這個程序直接加載到內存中，不會在硬盤上留下痕跡。研究人員認為，它被用來部署定制版的Cobalt Strike BEACON有效載荷。Cobalt Strike是一種商業(yè)滲透測試框架和開發(fā)代理，也已被黑客和復雜的網絡犯罪組織所采用和使用。

為了避免檢測，網絡攻擊者使用臨時文件替換技術遠程執(zhí)行其工具。這意味著他們用他們的惡意工具修改了目標系統(tǒng)上的合法實用程序，在執(zhí)行之后，然后用合法的工具替換了它。類似的技術包括通過更新合法任務以執(zhí)行惡意工具，然后將任務還原為其原始配置，從而臨時修改系統(tǒng)計劃的任務。

FireEye公司研究人員說：“防御者可以檢查SMB會話的日志，以顯示對合法目錄的訪問，并在很短的時間內遵循刪除、創(chuàng)建、執(zhí)行、創(chuàng)建的模式。此外，防御者可以使用頻率分析來識別任務的異常修改，從而監(jiān)視現(xiàn)有的計劃任務以進行臨時更新。還可以監(jiān)視任務以監(jiān)視執(zhí)行新的或未知二進制文件的合法任務。”

這是FireEye公司所觀察到的威脅參與者所展示的最好的操作安全性，它專注于檢測規(guī)避和利用現(xiàn)有的信任關系。不過，該公司的研究人員認為，這些網絡攻擊可以通過持續(xù)防御進行檢測，并在其咨詢報告中描述了多種檢測技術。

SolarWinds公司建議客戶盡快升級到Orion Platform版本2020.2.1 HF 1，以確保他們正在運行產品的全新版本。該公司還計劃發(fā)布一個新的修補程序2020.2.1 HF 2，它將替換受感染的組件并進一步增強安全性。

美國國土安全部還向政府組織發(fā)布了一項緊急指令，以檢查其網絡中是否存在木馬組件并進行報告。

并沒有有效的解決方案

對軟件供應鏈的網絡攻擊并不是什么新事物，安全專家多年來一直警告說，這是最難防范的威脅之一，因為它們利用了供應商和客戶之間的信任關系以及機器對機器的通信渠道，例如用戶固有信任的軟件更新機制。

早在2012年，研究人員發(fā)現(xiàn)Flame惡意軟件的網絡攻擊者使用了針對MD5文件哈希協(xié)議的加密攻擊，使他們的惡意軟件看起來像是由Microsoft合法簽名的，并通過Windows Update機制分發(fā)給目標。這并不是軟件開發(fā)商本身(微軟公司)遭到網絡攻擊，但是網絡攻擊者利用了Windows Update文件檢查中的漏洞，證明可以充分利用軟件更新機制。

2017年，卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)了一個名為Winnti的APT組織的軟件供應鏈攻擊，該攻擊涉及侵入制造服務器管理軟件提供商NetSarang公司的基礎設施，該軟件允許他們分發(fā)產品的木馬版本。采用NetSarang公司合法證書實施數(shù)字簽名。后來，這些網絡攻擊者入侵了Avast子公司CCleaner的開發(fā)基礎設施，并向220多萬用戶分發(fā)了該程序的木馬版本。去年，網絡攻擊者劫持了計算機制造商ASUSTeK Computer的更新基礎設施，并向用戶分發(fā)了ASUS Live Update Utility的惡意版本。

安全咨詢機構TrustedSec公司創(chuàng)始人David Kennedy說，“從威脅建模的角度來看，我不知道有任何組織將供應鏈攻擊整合到他們的環(huán)境中。當查看SolarWinds的情況時，這是一個很好的例子，表明網絡攻擊者可以選擇已部署產品的任何目標，而這些目標是世界各地的許多公司，并且大多數(shù)組織都無法檢測和預防。”

雖然部署在組織中的軟件可能會經過安全審查，以了解開發(fā)人員是否具有良好的安全實踐，以修補可能被利用的產品漏洞，但組織不會考慮如果其更新機制受到影響，該軟件將如何影響其基礎設施。Kennedy說，“我們在這方面還很不成熟，而且也沒有簡單有效的解決方案，因為很多組織需要軟件來運行他們的工作負載，他們需要采用新技術來擴大存在并保持競爭力，而提供軟件的組織卻沒有將其視為威脅模型。”

Kennedy認為，首先應該從軟件開發(fā)人員開始，并更多地考慮如何始終保護其代碼完整性，同時還要考慮如何在設計產品時盡量降低風險。

他說：“很多時候，當組織在構建軟件時，將會構建一個由外而內的威脅模型，但并非總是從內而外地考慮。這是很多人需要關注的領域：如何設計架構和基礎設施使其更能抵御這些類型的攻擊?是否有辦法通過最小化產品架構中的基礎設施來阻止許多這樣的攻擊?例如，把SolarWinds公司Orion保留在自己的孤島中，這樣就可以使通信正常工作，但僅此而已。一般來說，良好的安全實施是為對手創(chuàng)造盡可能多的復雜性，這樣即使他們成功了，而且正在運行的代碼也遭到了破壞，網絡攻擊者也很難實現(xiàn)他們的目標。”

作為軟件公司，也應該開始考慮將零信任網絡原則和基于角色的訪問控制不僅應用于用戶，還應用于應用程序和服務器。正如并非每個用戶或設備都能夠訪問網絡上的任何應用程序或服務器一樣，并不是每個服務器或應用程序都能夠與網絡上的其他服務器和應用程序進行通信。在將新軟件或技術部署到他們的網絡中時，組織應該問自己：如果該產品由于惡意更新而受到威脅將會發(fā)生什么情況?他們需要嘗試采取控制措施，以盡可能減少影響。

對于軟件供應鏈的網絡攻擊的數(shù)量在未來可能會增加，尤其是在其他網絡攻擊者看到其成功和廣泛性時。在2017年遭遇WannaCry和NotPetya網絡攻擊之后，針對組織的勒索軟件攻擊數(shù)量激增，因為它們向網絡攻擊者表明其網絡的抵抗力不如他們認為的那樣。從那以后，許多網絡犯罪組織采用了先進的技術。

勒索軟件組織也了解利用供應鏈的價值，并已開始攻擊托管服務提供商，以利用其對客戶網絡的訪問權。NotPetya本身有一個供應鏈組件，因為勒索軟件蠕蟲最初是通過稱為M.E.Doc的計費軟件的后門軟件更新服務器啟動的，該計費軟件在東歐國家很流行。

Kennedy表示，黑客組織將這次襲擊視為一次非常成功的網絡攻擊。從勒索軟件的角度來看，他們同時攻擊安裝了SolarWinds Orion平臺的所有組織。他說，“黑客可能知道，對于這種類型的網絡攻擊，需要提高復雜性，但是考慮到從勒索軟件團體中看到的進步以及他們投入的資金，這并不是一件容易的事。但我認為以后還會看出現(xiàn)這種情況。”