SolarWinds攻击事件场景助力供应链安全防护新实践

admin 2023年12月11日11:17:20评论12 views字数 2278阅读7分35秒阅读模式

什么是软件供应链攻击?

软件供应链攻击是一种面向软件开发人员和供应商的新兴威胁。CISA(美国网络安全和基础设施安全局)将软件供应链攻击定义为:“当网络威胁行为者侵入软件供应商的网络,并在供应商将软件发送给客户之前使用恶意代码破坏软件时,就会发生这种攻击。”

也就是说,在软件供应链的开发、交付、运行三大环节中,APT组织通过找到这些环节中的薄弱点并植入恶意软件,对供应链上下游各企业进行恶意攻击。比如,A企业的软件使用了B企业提供的某个组件,攻击方会先在B企业的组件中找到薄弱点植入后门,从而达到攻击A企业及其他下游企业的目的。所以,软件供应链攻击的攻击面极大,隐秘度极高,常常令企业防不胜防。

SolarWinds攻击事件便是典型的,通过攻陷SolarWinds上游软件的服务器,进而发动大规模网络攻击的“软件供应链攻击事件”。

SolarWinds攻击事件介绍

2020年年底,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,发布了关于SolarWinds供应链攻击的通告,通告中表明基础网络管理软件供应商SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码,并将SolarWinds Orion 软件更新包中被黑客植入的后门命名为SUNBURST,与之相关的攻击事件被称为 UNC2452。

SolarWinds的系统被攻击之后,涉及范围极广,导致了多个美国联邦政府机构(包括政府部门、关键基础设施以及多家全球500强企业)的网络遭受入侵。该事件堪称美国历史上最为严重的安全事件,尽管已经过去了3年多时间,其影响依旧十分深远。

技术水平极高的一次供应链攻击
据了解,SolarWinds 供应链攻击事件是一起技术水平极高、隐蔽性极强 且经过了长期筹谋的网络攻击行动,攻击者所设计的攻击思路十分隐蔽巧妙,在编码上习惯上仿照了SolarWinds的编码方式与命名规范等,成功绕过了复杂测试、交叉审核、校验等多个环节,同时触发条件十分苛刻,有效避免了被沙箱等自动化分析工具检出。

在该事件中,攻击者获取外网权限之后,其组织花费了大量时间和精力进行了非常隐蔽的内网横向渗透,对内网网络拓扑及源码编译服务器进行了充分的信息收集,最终获取到了SolarWinds源码构建服务器的全部权限。攻击者通过对Orion的源码进行篡改将后门写入代码中,该文件具有合法数字签名伴随软件更新下发,通过该后门,攻击者可以与被感染的系统进行隐蔽通信。可以畅通无阻地访问内部网络,具备长期的匿名网络接入能力,以及越过内部安全等级防护的权限,从而达到长期控制目标、窃取核心数据的目的。

综合分析该事件过程,从攻击思路的设计,到攻击链路的搭建,到高技术难度工具的开发,从前期深入的渗透,到最后对特定目标的攻击,不难看出其背后的 APT 组织经验丰富,具有高度的耐心与纪律意识,攻击协同达到了很高的水准。

更适合实战训练的攻击链路复现
由于SolarWinds供应链攻击事件影响范围广、潜伏时间长、隐蔽性强、复杂程度高,且波及全球多个国家和地区的 18000 多个用户,可以说该事件对全球网安全防御体系而言都具有极大的冲击性,因此,对于防御方而言,只有足够了解攻击过程,才能有针对性地扩宽自身的检测点,挖掘更深层次的隐藏手段。

而防御方要提升攻防能力,就需要大量实战经验的累积,这也是网络靶场的核心价值之一,它可以直接将安全能力“传递”给企业端防护人员,即:将人、攻防工具、贴近真实的实战场景融为一体,在网络靶场中通过在不同场景中的实战训练能有效提升技术人员对攻击事件的理解深度与技术能力,从而帮助企业构建更为坚实的安全防护保障。

近期,来自丈八网安的网络安全攻防研究团队——蛇矛实验室,依托原生靶场平台“火天网境”,搭建了SolarWinds供应链攻击事件中的网络环境,以攻击者的视角对其攻击链路与隐藏技术进行了复现,提供了供应链入侵所需的攻击,通过对上游厂商的渗透,完成了对其下游大量用户的控制,展现了攻击者旁路入侵技术。

SolarWinds攻击事件场景助力供应链安全防护新实践

蛇矛实验室将整个攻击链路复现过程分成了两个阶段。

第一阶段为模拟对上游厂商进行攻击,通过制作代码注入工具包,生成恶意代码植入器,将生成好的代码植入器植入供应链上游厂商的编译服务器,该服务器在编译程序时,就会将恶意代码编译到程序中,并携带该厂商的签名。

SolarWinds攻击事件场景助力供应链安全防护新实践

图:红色箭头为第一阶段;蓝色箭头为第二阶段

第二阶段模拟对供应链下游客户攻击。在solarWinds攻击事件中,大约1万8千家用户安装了含有后门的Orion网管软件更新包,攻击者并没有入侵所有的公司,而是有计划的挑选了50多家主要公司单位进行内网横向渗透。因此,在拓扑环境中选取了“高资产机器”“低资产机器”“高资产但是具有安全设备”三种典型设备场景,以模拟更加真实的供应链下游业务环境以及对被攻击对象的精准筛选过程。手动触发恶意代码后,攻击中使用dga通信,受害机将机器的环境信息加密后,作为DNS解析的子域传递给DNS解析服务器;DNS解析服务器有解析工具将子域中的信息解密,并根据解析的信息,决定是否上线。

值得一提的是,SolarWinds事件中,被植入的后门SUNBURST在攻击过程非常注重其隐蔽性,在与控制服务器通信时会利用DNS进行流量隐藏,区别于常规的DNS隧道技术,SUNBURST没有篡改正常DNS解析流程,而是通过域名自身携带的字符来传递信息,该攻击方式会让安全设备误以为SUNBURST在正常通信。

原文始发于微信公众号(安全喵喵站):SolarWinds攻击事件场景助力供应链安全防护新实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日11:17:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SolarWinds攻击事件场景助力供应链安全防护新实践http://cn-sec.com/archives/2286500.html

发表评论

匿名网友 填写信息