从恶龙到毒龙：SolarWinds上演完美风暴

大多数互联网和科技公司的远大理想或者美好愿景之一，就是经过一番血腥的征战厮杀，成为一条自己曾经“讨厌”的恶龙。

但是比成为恶龙更加可怕的是，恶龙变成了毒龙。

在两个月前的一次分析师电话会议中，SolarWinds首席执行官凯文·汤普森（KevinThompson）沾沾自喜地回顾了自己掌舵11年以来，公司业绩如何蒸蒸日上，横扫全球。

汤普森告诉分析师：“这个世界上没有SolarWinds不能监控和管理的数据库或者IT系统。我们认为，就覆盖的广度而言，市场上没有任何竞争对手能够对我们构成威胁，我们管理每个人的网络设备。”

毫无疑问，在IT监控和管理工具市场，SolarWinds这家盘踞在德克萨斯州奥斯丁的软件企业已经成长为一条“地表最强恶龙”。

但是，本周FireEye和微软曝光的APT攻击，把SolarWinds一夜之间从“恶龙”变成了“毒龙”。

本周一，SolarWinds证实，Orion——其旗舰网络管理软件——在不知不觉中充当了一个庞大的国际网络间谍活动的渠道。黑客将恶意代码后门（SUNBURST,日爆攻击）插入Orion软件更新，并推送给包括美国关键基础设施、军队和政府机构在内的全球1.8万个客户。

正所谓能力越大毒性越大，被黑客植入木马的SolarWinds，让美国财政部、商务部、五角大楼、白宫、NSA和九成以上的财富500强企业都陷入了极度恐慌，CISA在官方通报中使用了罕见的字眼：这种风险（黑客通过SolarWinds木马化软件监控美国政府和全球大型企业）已经超出了容忍极限。

《华盛顿邮报》和《纽约时报》都点名俄罗斯黑客组织APT29是幕后黑手，路透社也援引三位知情人士的话指认俄罗斯是头号嫌疑人，不过其他熟悉调查的人表示，现在下结论还太早。

总部位于亚特兰大的阿尔斯顿和伯德律师事务所网络安全准备和应对团队的联席主席金·佩雷蒂（Kim Peretti）表示，这些恶意更新在3月至6月之间推送，当时美国正努力应对第一波冠状病毒感染——这是“一场完美风暴的完美时机”。

金·佩雷蒂说：“现在评估损失是很困难的，可能要花费好几个月甚至更久，甚至，永远都不会知道真正的影响”。

对SolarWinds的影响则比较直接和直观：

美国官员命令任何运行Orion的企业和机构立刻“拔网线”。SolarWinds的股价从上周五的23.50美元跌至周二的18.06美元，下跌超过23%。

与此同时，SolarWinds糟糕的网络安全实践也开始接受全面细致的审查。

很快，安全业界就发现SolarWinds简直是一个“完美”的猎物。

据两位研究人员称，在此前未报道的调查中，多名罪犯通过地下论坛出售对SolarWinds设备的访问。

网络犯罪情报公司Intel471首席执行官马克·阿雷纳透露，其中一人在2017年访问过该漏洞利用论坛，此人正是FBI通缉的哈萨克斯坦黑客"fxmsp"，本世纪最危险的黑客之一。

安全研究员维诺斯·库马尔告诉路透社，去年他提醒公司，任何人都可以使用默认密码"Solarwinds123"访问SolarWinds的更新服务器。

位于马里兰州的网络安全公司猎人的联合创始人凯尔·汉斯洛万注意到，在SolarWinds意识到软件被植入木马后数天，SolarWinds官方站点仍然提供恶意更新下载。

如果说以上还可以用安全卫生状况糟糕来形容，那么一家德国报纸的发现则惊掉了专业人士的下巴：SolarWInds的一个产品支持页面建议用户禁止杀毒软件扫描Orion的产品文件夹（下图）。

网络安全人士指出，这条建议相当于公开向黑客发送邀请函。

卡巴斯基研究人员Costin Raiu指出：“有时有合理的理由将某些路径列入白名单，例如使用具有双重用途的某些远程访问工具时。但是，将程序文件或公共文件中的文件夹列入扫描白名单或跳过这些文件夹是一种可怕的做法，尤其是当这些文件属于系统上运行的，具有自更新功能的应用程序。”

SolarWinds本周三发布了更新的补丁版本，FireEye也给出了缓解措施建议和Github检测工具页面。

本周四，FireEye与微软和GoDaddy合作完成了攻击终止开关（Kill Switch），能够阻断已经部署的SUNBURST后门与C2服务器之间的通信，从而缓解SUNBURST威胁。

FireEye发言人声称：“我们已经发现了一个终止开关（Kill Switch），能够阻止SUNBURST后门继续运行。如果命令控制服务器域名avsvmcloud.com的解析IP地址在以下范围内（列表如下），SUNBURST后门会自行终止不再运行。”

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• 224.0.0.0/3

• fc00::-fe00::

• fec0::-ffc0::

• ff00::-ff00::

• 20.140.0.0/15

• 96.31.172.0/24

• 131.228.12.0/22

• 144.86.226.0/24

昨天，微软已经接管了SUNBURST的命令控制服务器域名avsvmcloud.com，而GoDaddy也提供一种DNS解析服务，确保命令控制服务器域名的所有子域名都被解析到20.140.0.1.这个地址。但停止开关远非游戏终结者，因为停止开关只能阻止Sunburst，而攻击者很可能已经横向移动了。

FireEye发言人说：“在FireEye看到的入侵中，攻击者迅速采取了行动，建立了其他持久驻留机制来访问Sunburst后门以外的受害网络。这种终止开关不会影响到攻击者在目标网络中建立的其他后门。”

Axonius安全总监Daniel Trauner指出：“禁用任何运行Orion后门版本的服务器并将这些主机与网络断开连接都是很明智的，但这远远不够。组织应立即调查驻留或横向移动的证据，已经打补丁的企业也需要这么做。”