雖然SolarWinds惡意軟件實(shí)施的規(guī)模空前的網(wǎng)絡(luò)攻擊范圍尚待確定，但它使網(wǎng)絡(luò)攻擊者得以訪問(wèn)某些最敏感的系統(tǒng)和數(shù)據(jù)。

在全球廣泛應(yīng)用的網(wǎng)絡(luò)監(jiān)控工具SolarWinds Orion已經(jīng)受到威脅和破壞。去年3月，在所謂的“供應(yīng)鏈攻擊”中，網(wǎng)絡(luò)攻擊者在更新代碼中注入了惡意軟件，其用戶每次運(yùn)行更新時(shí)都會(huì)安裝木馬程序。

[[373508]]

美國(guó)網(wǎng)絡(luò)安全聯(lián)盟執(zhí)行董事Kelvin Coleman說(shuō)：“供應(yīng)鏈攻擊是一種低成本、高影響的威脅。這顯然對(duì)攻擊者來(lái)說(shuō)很具吸引力，因?yàn)樗麄兛梢酝瑫r(shí)實(shí)現(xiàn)許多目標(biāo)。通過(guò)SolarWinds Orion引入的帶有惡意軟件的更新，對(duì)于那些認(rèn)為他們只是安裝或更新已驗(yàn)證軟件的公司來(lái)說(shuō)已經(jīng)成為了破壞點(diǎn)。”

SolarWinds公司在日前提交給美國(guó)網(wǎng)絡(luò)安全聯(lián)盟的一份調(diào)查文件中表示，多達(dá)18,000個(gè)機(jī)構(gòu)和組織受到影響。該公司擁有30萬(wàn)家客戶，其中包括美國(guó)十大電信公司、美國(guó)軍方的所有五個(gè)分支機(jī)構(gòu)、美國(guó)名列前五的會(huì)計(jì)師事務(wù)所、美國(guó)白宮、五角大樓、美國(guó)國(guó)務(wù)院、美國(guó)國(guó)家安全局、美國(guó)司法部等重要政府部門(mén)。

SolarWinds公司還表示，美國(guó)財(cái)富500強(qiáng)企業(yè)中有425家公司是該公司的用戶，其中包括福特、柯達(dá)、思科、萬(wàn)事達(dá)、微軟。

網(wǎng)絡(luò)安全服務(wù)商RedSeal公司首席技術(shù)官M(fèi)ike Lloyd說(shuō)，SolarWinds Orion的IT監(jiān)控服務(wù)廣泛用于數(shù)據(jù)中心。他說(shuō)：“基本上，在云平臺(tái)或物理數(shù)據(jù)中心運(yùn)行的任何東西都需要被監(jiān)控，以跟蹤正常運(yùn)行時(shí)間、性能和服務(wù)可用性。這些監(jiān)視工具往往是為了關(guān)注最關(guān)鍵的資產(chǎn)而設(shè)置的。這就是為什么SolarWinds Orion成為網(wǎng)絡(luò)攻擊者重要目標(biāo)的原因。如果看到它所看到的內(nèi)容，則可以有效地看到所有重要內(nèi)容。”

在安裝木馬程序之后，網(wǎng)絡(luò)攻擊者使用它來(lái)入侵受害者的某些網(wǎng)絡(luò)并泄露敏感數(shù)據(jù)和電子郵件。已經(jīng)確認(rèn)的案例包括對(duì)美國(guó)商務(wù)部、美國(guó)財(cái)政部以及著名的網(wǎng)絡(luò)安全機(jī)構(gòu)FireEye公司的攻擊。

然而，網(wǎng)絡(luò)攻擊者對(duì)FireEye公司的攻擊功虧一簣。FireEye公司發(fā)現(xiàn)了攻擊行為，并有效阻止了其攻擊行為。FireEye公司隨后展開(kāi)攻勢(shì)，以確定網(wǎng)絡(luò)攻擊如何發(fā)生，以及哪些組織受到影響。

FireEye公司表示，它檢測(cè)到網(wǎng)絡(luò)攻擊者對(duì)全球各地機(jī)構(gòu)和組織的攻擊，其中包括北美、歐洲、亞洲和中東的政府部門(mén)、咨詢機(jī)構(gòu)、技術(shù)部門(mén)、電信和礦業(yè)公司。

該公司表示：“我們預(yù)計(jì)其他國(guó)家和垂直行業(yè)還會(huì)有更多受害者。我們已經(jīng)通知受到所有影響的實(shí)體。”

這并不是首次使用具有破壞性結(jié)果的供應(yīng)鏈攻擊。2017年，NotPetya惡意軟件在全球范圍內(nèi)進(jìn)行攻擊，造成將近100億美元的損失。

網(wǎng)絡(luò)攻擊是如何進(jìn)行的

當(dāng)用戶下載更新時(shí)，對(duì)SolarWinds的漏洞進(jìn)行網(wǎng)絡(luò)攻擊(微軟公司稱(chēng)其為Solorigate，F(xiàn)ireEye公司稱(chēng)為Sunburst)就會(huì)開(kāi)始。

事實(shí)證明，SolarWinds公司建議其用戶從反惡意軟件檢查中排除此更新過(guò)程。SolarWinds Orion工具幫助用戶監(jiān)控他們的網(wǎng)絡(luò)。該系統(tǒng)的一個(gè)缺陷使攻擊者能夠訪問(wèn)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

該惡意軟件通過(guò)使用網(wǎng)絡(luò)攻擊者購(gòu)買(mǎi)的合法域建立的通信服務(wù)器與其制造商進(jìn)行通信，這些合法域已經(jīng)存在了一段時(shí)間。這樣一來(lái)，它就可以逃避安全防護(hù)系統(tǒng)，以尋找已知惡意站點(diǎn)或全新域的可疑流量。

FireEye公司在其調(diào)查報(bào)告中指出：“經(jīng)過(guò)最初長(zhǎng)達(dá)兩周的休眠期之后，它會(huì)檢索并執(zhí)行命令，其中包括傳輸文件和執(zhí)行文件，對(duì)系統(tǒng)進(jìn)行配置文件，重新啟動(dòng)計(jì)算機(jī)以及禁用系統(tǒng)服務(wù)的功能。”

該惡意軟件將其活動(dòng)偽裝為合法的Orion改進(jìn)程序流量，并將其偵察結(jié)果存儲(chǔ)在合法的插件配置文件中。它還使用模糊的黑名單來(lái)識(shí)別反病毒和其他安全工具。

然后，網(wǎng)絡(luò)攻擊者偽造身份安全令牌，使他們能夠冒充任何用戶或帳戶，包括特權(quán)帳戶，這使他們能夠繞過(guò)Office 365等服務(wù)的多因素身份驗(yàn)證，從供應(yīng)商那里進(jìn)入內(nèi)部部署和云端的電子郵件帳戶。

FireEye公司首席執(zhí)行官Kevin Mandia在一份聲明中說(shuō)：“他們?cè)谶\(yùn)營(yíng)安全方面接受過(guò)嚴(yán)格的培訓(xùn)，并具有紀(jì)律性和專(zhuān)注力。他們秘密地進(jìn)行操作，使用了應(yīng)對(duì)安全工具和法醫(yī)檢查的方法。他們采用了一種新穎的技術(shù)組合，我們過(guò)去從未見(jiàn)過(guò)這種組合。”

此外，網(wǎng)絡(luò)攻擊者使用其訪問(wèn)權(quán)限滲透現(xiàn)有用戶帳戶或創(chuàng)建新帳戶，以訪問(wèn)更多系統(tǒng)。

潛在影響

截至公布之日，已知受害者包括美國(guó)智庫(kù)FireEye、美國(guó)財(cái)政部、美國(guó)商務(wù)部、國(guó)家衛(wèi)生研究院、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局、美國(guó)國(guó)土安全部和美國(guó)國(guó)務(wù)院。

RedSeal公司的Lloyd表示：“這是一個(gè)令人沮喪但重要的認(rèn)識(shí)，用戶可能無(wú)法分辨出自己是否真正受到了傷害，如果有可能的話，最好假設(shè)它確實(shí)發(fā)生了。”

到目前為止，網(wǎng)絡(luò)攻擊者的目標(biāo)似乎在不進(jìn)行破壞的情況下獲得信息，而且沒(méi)有受害者報(bào)告過(guò)對(duì)其系統(tǒng)的損害。然而，對(duì)于擁有敏感信息的政府機(jī)構(gòu)、承包商和其他組織來(lái)說(shuō)，敏感信息的丟失可能是災(zāi)難性的打擊。

因此，美國(guó)國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局日前發(fā)布了一項(xiàng)罕見(jiàn)的緊急指令，命令美國(guó)聯(lián)邦機(jī)構(gòu)立即關(guān)閉所有SolarWinds Orion工具，并檢查網(wǎng)絡(luò)是否存在危害跡象。

美國(guó)網(wǎng)絡(luò)安全聯(lián)盟代理總監(jiān)Brandon Wales在一份聲明中說(shuō)：“ SolarWinds Orion網(wǎng)絡(luò)管理產(chǎn)品的漏洞給美國(guó)聯(lián)邦網(wǎng)絡(luò)的安全帶來(lái)了不可接受的風(fēng)險(xiǎn)。”

451 Research公司分析師Scott Crawford表示，但這并不意味著其他類(lèi)型的組織應(yīng)該感到安全。

他指出，美國(guó)卷入了一場(chǎng)類(lèi)似的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，持續(xù)不斷受到網(wǎng)絡(luò)攻擊，這對(duì)任何組織都可能造成附帶損害。

Crawford說(shuō)：“有時(shí)，威脅參與者之間的界限有時(shí)是模糊的。如果他們有共同的目標(biāo)，他們就有充分的理由合作。”

建議和回應(yīng)

任何組織的安全部門(mén)負(fù)責(zé)人都應(yīng)采取的第一步是確定其基礎(chǔ)設(shè)施受到何種程度的影響。SolarWinds公司發(fā)布了有關(guān)確定數(shù)據(jù)中心可能運(yùn)行的Orion產(chǎn)品版本的說(shuō)明。

美國(guó)網(wǎng)絡(luò)安全聯(lián)盟建議，針對(duì)正在運(yùn)行易受攻擊的SolarWinds產(chǎn)品的每種情況保存操作系統(tǒng)和系統(tǒng)內(nèi)存的映像，以分析新的用戶或服務(wù)帳戶，并檢查存儲(chǔ)的網(wǎng)絡(luò)流量是否存在危害指標(biāo)。

FireEye公司還發(fā)布了危害指標(biāo)列表，并共享了免費(fèi)對(duì)策的GitHub存儲(chǔ)庫(kù)。

下一步措施是移除、升級(jí)或隔離受影響的SolarWinds Orion系統(tǒng)。美國(guó)網(wǎng)絡(luò)安全聯(lián)盟建議完全刪除，而SolarWinds公司建議升級(jí)和修補(bǔ)。

在無(wú)法立即進(jìn)行升級(jí)或修補(bǔ)的情況下，SolarWinds建議盡可能隔離系統(tǒng)。并建議在防火墻后運(yùn)行Orion，禁用其互聯(lián)網(wǎng)訪問(wèn)，將端口和連接限制為絕對(duì)必要的端口和連接。接下來(lái)，用戶需要?jiǎng)h除所有受損的用戶帳戶和通信通道，包括關(guān)閉對(duì)已知受損域和IP地址的所有訪問(wèn)。

用戶還應(yīng)該重置SolarWinds系統(tǒng)可以訪問(wèn)的所有憑據(jù)，以及所有特權(quán)帳戶，身份驗(yàn)證密鑰和令牌。

Sophos公司為此推出了一份極其詳細(xì)的事故應(yīng)對(duì)行動(dòng)手冊(cè)，并在獲得新信息后不斷對(duì)其進(jìn)行更新。在清理完成后，用戶可以將系統(tǒng)還原到最后一個(gè)良好狀態(tài)，也可以從受信任的來(lái)源重新安裝。

微軟公司還發(fā)布了詳細(xì)的SolarWinds響應(yīng)公告。

為未來(lái)做好準(zhǔn)備

研究法規(guī)、風(fēng)險(xiǎn)和合規(guī)性問(wèn)題的全球性咨詢機(jī)構(gòu)StoneTurn公司的合伙人Luke Tenery說(shuō)，SolarWinds黑客事件是一個(gè)“分水嶺事件”。

他說(shuō)，“這個(gè)事件表明即使是最先進(jìn)的組織，即使可能采取某種程度的安全預(yù)防措施，也無(wú)法在可信的第三方受到威脅時(shí)檢測(cè)到高度先進(jìn)的網(wǎng)絡(luò)攻擊。”

在這個(gè)事件中，行業(yè)領(lǐng)先的安全機(jī)構(gòu) 以及美國(guó)政府中一些最關(guān)注安全的部門(mén)成為受害者。他表示，這是供應(yīng)鏈攻擊的最大危險(xiǎn)。因?yàn)楹芏嘟M織信任他們的IT供應(yīng)商。

他說(shuō)，“解決方案是加強(qiáng)供應(yīng)商風(fēng)險(xiǎn)管理。但是，即使是美國(guó)最著名的技術(shù)提供商，也要監(jiān)視系統(tǒng)的完整性和預(yù)期行為。”