2020年11月底，FireEye的審查員在內(nèi)部安全日志審計中發(fā)現(xiàn)一條安全警告：一位員工注冊了一個新的手機(jī)號碼接收雙因素認(rèn)證驗證碼。然而據(jù)該員工反饋，這段時間并未在系統(tǒng)中注冊新的手機(jī)號碼，FireEye 迅速組織團(tuán)隊開始徹查。

2020年12月13日，FireEye發(fā)布了關(guān)于SolarWinds供應(yīng)鏈攻擊的通告。通告中表明基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商SolarWinds Orion 軟件更新包中被黑客植入后門，并將其命名為SUNBURST，與之相關(guān)的攻擊事件被稱為 UNC2452。

一、事件介紹

2020年12月14日，美國聯(lián)邦調(diào)查局（FBI）、國家情報局局長辦公室（ODNI）與美國國土安全部網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布聲明——首次正式確認(rèn)被黑客植入木馬的SolarWinds導(dǎo)致了多個美國聯(lián)邦政府機(jī)構(gòu)（包括政府部門、關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500強(qiáng)企業(yè)）的網(wǎng)絡(luò)遭受入侵。

FireEye研究團(tuán)隊通過對UNC2452進(jìn)行調(diào)查，發(fā)現(xiàn)攻擊者可能已獲取了SolarWinds內(nèi)網(wǎng)高級權(quán)限。FireEye通過分析內(nèi)部的 SolarWinds 軟件服務(wù)器，并未發(fā)現(xiàn)服務(wù)器上有惡意軟件的安裝痕跡，隨后又對服務(wù)器上的SolarWinds 軟件進(jìn)行逆向分析，在其中一個模塊中發(fā)現(xiàn)了具有 SolarWinds 公司數(shù)字簽名的惡意代碼。

二、惡意程序分析

SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟件SolarWinds的數(shù)字簽名組件，其中包含了一個后門。通過該后門攻擊者可以利用HTTP與第三方服務(wù)器進(jìn)行通信，并通過一系列時間校驗來判斷是否執(zhí)行該惡意程序，同時通過校驗hash值來保證自身執(zhí)行環(huán)境是否是真實的目標(biāo)環(huán)境。

通過驗證當(dāng)前進(jìn)程名稱的hash值，以及驗證文件修改時間，若修改時間符合要求，則繼續(xù)檢查其默認(rèn)配置項，通過讀取config文件中的字段來判斷是否執(zhí)行該惡意程序。在完成一系列校驗后，利用DGA算法生成控制域名，根據(jù)控制域名解析請求返回CNAME域，繼續(xù)解析獲取真實控制IP地址；當(dāng)控制域名解析出真正IP地址后，該惡意程序就會主動連接到控制服務(wù)器?？刂品?wù)器提供了功能全面的控制命令（包括任意啟動進(jìn)程、執(zhí)行下發(fā)的文件、設(shè)置注冊表項、獲取進(jìn)程信息），據(jù)此實現(xiàn)攻擊。

此外，通過研究發(fā)現(xiàn)該惡意程序還可以提供等待時間調(diào)整接口，在被監(jiān)測到異常行為后攻擊者可以選擇長時間靜默，進(jìn)而躲避監(jiān)測，降低暴露的可能性。

三、"SolarWinds"事件特點(diǎn)分析

（一）技術(shù)水平極高

本次攻擊者選擇的攻擊武器設(shè)計思路隱蔽巧妙，在編碼上高度仿照了SolarWinds的編碼方式與命名規(guī)范等，成功繞過了復(fù)雜測試、交叉審核、校驗等多個環(huán)節(jié)，同時觸發(fā)條件十分苛刻，有效避免了被沙箱等自動化分析工具檢出。

SolarWinds在其安全警報中明確指出：這種攻擊是一種極有針對性的、手動執(zhí)行的攻擊，而不是廣泛的、系統(tǒng)范圍的攻擊。

（二）深度的滲透工作

攻擊者將后門寫入代碼中，與被感染系統(tǒng)進(jìn)行隱蔽通信，利用該后門，攻擊者可以不受限制地訪問SolarWinds軟件和分發(fā)機(jī)制。此外，攻擊者利用了名為Teardrop惡意軟件控制本地網(wǎng)絡(luò)，并以此為支點(diǎn)入侵受害目標(biāo)，收集了大量的一手情報。

（三）有國家背景支持的APT攻擊

通過分析該攻擊事件，從攻擊鏈路的搭建，到高技術(shù)難度工具的開發(fā)，再到目標(biāo)的確認(rèn)，最后對目標(biāo)進(jìn)行深入的控制。整個攻擊活動從組織、規(guī)模、技術(shù)等多個方面綜合考慮，其攻擊組織必然是大規(guī)模的。

因此，從攻擊活動的開展、攻擊工具使用的技術(shù)以及攻擊過程中基礎(chǔ)設(shè)施的支撐來看，此次攻擊組織無疑是國家背景的網(wǎng)絡(luò)間諜組織。

據(jù)悉于2021年1月，白宮網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組（UCG）首次明確披露俄羅斯情報部門是此次事件的幕后黑手，并為此付出了極高的成本。

四、攻擊活動產(chǎn)生的原因

通過對此次攻擊事件的深度解析，軟件供應(yīng)鏈攻擊作為一種新型威脅，具有威脅對象多、極端隱蔽、檢測難度大、涉及維度廣等特點(diǎn)，已成為國家級網(wǎng)絡(luò)間諜活動的重要選項，是最難防御的間諜活動之一。

（1）軟件供應(yīng)鏈攻擊的防御研究處于起步階段

2017年微軟首次提出“針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊”的概念。作為一種新的安全問題，目前還缺乏權(quán)威而準(zhǔn)確的定義。相比于針對目標(biāo)計算機(jī)系統(tǒng)的漏洞安全研究，針對軟件供應(yīng)鏈安全的研究目前整體還處于提出問題或分析問題的起步階段，還沒有到解決問題的關(guān)鍵階段，在一定程度上還缺少直接的、有針對性、有價值的研究成果。

（2）暴露面增大

從軟件生命周期的角度分析軟件供應(yīng)鏈攻擊，可以簡單抽象為軟件設(shè)計、代碼編寫到生成軟件的開發(fā)環(huán)節(jié)；軟件分發(fā)和用戶下載的交付環(huán)節(jié)；直至交付到用戶的使用環(huán)節(jié)；三大環(huán)節(jié)環(huán)環(huán)相扣，每個環(huán)節(jié)都面臨著安全風(fēng)險。

（3）大量開源代碼的利用

由于開源代碼的便利性，在軟件開發(fā)過程中大量引入了開源組件，開源組件的使用數(shù)量呈指數(shù)級增長時所帶來的安全問題不容忽視。一旦其中一個環(huán)節(jié)出現(xiàn)了問題，就會導(dǎo)致所有使用該軟件庫的下游軟件均存在該漏洞。

（4）攻守不平衡

對攻擊方而言，只需找到軟件供應(yīng)鏈的一個突破口便可入侵并造成危害，而防御方則需要對整個軟件供應(yīng)鏈進(jìn)行完備的安全防護(hù)，并保證整個軟件的全生命周期的安全性。

（5）補(bǔ)丁更新周期較長

從系統(tǒng)和軟件的漏洞公布，到設(shè)計補(bǔ)丁，最終測試并發(fā)布安全的新版本，需要經(jīng)過較長的周期，而攻擊者根據(jù)漏洞生成攻擊向量的速度可能更快。

五、網(wǎng)絡(luò)間諜活動的啟示

第一，提高安全防護(hù)意識

各企業(yè)要加強(qiáng)軟件供應(yīng)鏈攻擊風(fēng)險防范意識。軟件研發(fā)機(jī)構(gòu)需要在軟件安全質(zhì)量的檢測與控制，以及軟件供應(yīng)鏈各類渠道加強(qiáng)安全防范。

第二，建設(shè)防御體系

面對數(shù)量繁多、涉及領(lǐng)域廣泛、與用戶信息接觸最為直接的各類軟件產(chǎn)品，目前尚未形成一套防御理論完備、技術(shù)手段長久有效的軟件供應(yīng)鏈防護(hù)體系，這將直接導(dǎo)致應(yīng)對措施和機(jī)制缺失、檢測和溯源技術(shù)水平等跟不上。因此，我國需要建立完整有效的軟件供應(yīng)鏈防護(hù)體系，以提高對于軟件供應(yīng)鏈攻擊的防御能力。

第三，進(jìn)行嚴(yán)格認(rèn)證

面對此類問題，在軟件設(shè)計以及開發(fā)過程中可以加強(qiáng)賬戶驗證、令牌驗證等多種方式進(jìn)行嚴(yán)格的驗證，確保訪問用戶的正確性。此外還需校驗訪問源，保證訪問源的安全性。

第四，從官方渠道下載補(bǔ)丁更新

在補(bǔ)丁更新過程中，要盡量選取官方發(fā)布的補(bǔ)丁。

國城科技09年至今，長期服務(wù)于國家安全，一直處于攻防實戰(zhàn)狀態(tài)，積累對抗經(jīng)驗，形成自有的情報庫資源，實戰(zhàn)對手遍布全球。

總結(jié)

以上是生活随笔為你收集整理的【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。