SolarWinds事件八卦解读

首先为什么是八卦解读，网上已经有太多的文字和情报，就不多说了。我只说几点我看到的很少人注意的细节。

在此事件曝光前最早有异常情况是SolarWinds公司的股票内部交易披露，该公司董事最早在11月19日卖出16.61万股股票，主要股东在12月8日卖出14.45万股。这些都侧面说明公司高层可能在11月就已经提前知晓攻击事件。因为知晓近期可能事件会公布，所以提前卖出一些股票，以防公司股价跌太狠，事实证明12月13日事件曝光后公司股价从24块跌到了18块。

火眼是第一个给出事件分析报告的，我们看到报告最后致谢了微软的人，说明该攻击事件是火眼和微软团队共同跟进处理的，所以微软随后也发出安全报告，一切都合情合理。火眼和微软报告指出攻击最早从2020年春季/2020年3月开始，而360的揭秘报告从样本层面追溯到了2019年10月，所以这个攻击行动实际是跨越2个年度的。

      时间继续往前推，SolarWinds公司公告最后一个有问题的版本是持续到2020年6月发布的，也就是说攻击从2019年10月到2020年6月这个期间，并没有任何安全公司发现异常。

而后其实真正留给安全公司发现攻击的时间窗口期，实际只有2020年7月到2020年11月这4个月时间节点。如果在这4个月时间内攻击被发现，肯定能够提前止损，但实际上美国国土安全部也是直到2020年12月14日才发出紧急指示，所以这实际上是一次有些滞后的安全响应处理。一切都是滞后防御，美国如此顶尖的网络安全实力，不能及时抓住针对自己影响面如此大的攻击也是一言难尽。

再来看看此次攻击的opsec手法，火眼和微软报告并没有给出攻击者的opsec细节，仅仅给出了有检测进程、服务的一句话描叙，这也仅仅是这个组织opsec对抗的一角，并不是全貌。

在360的揭秘报告中给出了这一角的关键分析，截取报告引用一部分环境对抗检测的列表，可以看到火热的两个抓APT的大厂CrowdStrike和Fireeye赫然在列，CrowdStrike为什么对这次事件没有发声，确实让人浮想联翩。攻击者肯定研究过各安全大厂的产品，有着精细的攻防对抗策略，这里面细节和斗争是无法再现的。

结合Fireeye之前发布的自己被入侵的公告，这也基本上是在遮遮掩掩的说攻击者是对Fireeye下过手。所以也许Fireeye有天然的优势，先自己发现自己被搞，再牵出这么多客户能排查，才能首发曝光这次行动。

当然也有很多后知后觉的发现，根据外界的报告也还是能看出一二的，首先12月14日volexity公司也发出了一篇报告，其中在他们视野里关联发现了2020年6-7月针对客户Exchange邮件服务器的攻击，当然这也是马后炮，如果没有火眼的情报，Volexity也是睁眼瞎，这么大块APT捕获的肥肉犯不着滞后发，说明Volexity之前并没有任何情报可以串连到SolarWinds供应链事件。

然后是avsvmcloud.com这个C2，孤零零的挂着2019年7月19日的更新记录，而微软的接管时间是2020年12月14日，影响面这么大的攻击，如果这个攻击行动能早几个月发现，这个C2的接管时间会拖到一年后的12月么。

最后感慨一下，当美国拥有众多顶尖安全厂商，也只能眼睁睁看着众多核心机构被国家级APT组织入侵，跨越两个年度后才能被发现处理时，这并不是一个好消息，而是一个长鸣警钟。

本文始发于微信公众号（qz安全情报分析）：SolarWinds事件八卦解读