TI.360.CN
高级威胁分析
SunBurst (solarwinds)供应链攻击专项:
1、solarwinds自己组织网络安全力量对供应链攻击进行分析,有几个重点希望大家关注下,下面已经圈起来了。种地那关注毕马威这家审计事务所,在本公众号搜毕马威,有小秘密。
机翻:
-
我们当前的事件时间表是从2019年9月开始,这是我们的法医团队在当前调查过程中发现的我们内部系统上最早的可疑活动。
-
随后的2019年10月版的Orion平台似乎包含一些修改,旨在测试犯罪者将代码插入我们的构建中的能力
-
将SUNBURST恶意代码插入Orion Platform的恶意代码注入源的更新版本从2020年2月20日开始发布。
-
犯罪者一直未被发现,并于2020年6月从我们的环境中删除了SUNBURST恶意代码。从那时起到今天,SolarWinds一直在调查其Orion平台中的各种漏洞。它补救或启动了补救漏洞的过程,该过程一直持续到今天。但是,直到2020年12月,该公司都没有发现任何漏洞(我们现在称为SUNBURST)。
-
2020年12月12日,我们被告知网络攻击,并迅速采取行动通知和保护我们的客户,并调查协作执法,情报和政府部门的攻击。
https://orangematter.solarwinds.com/2021/01/11/new-findings-from-our-investigation-of-sunburst/
2、Crowdstrike 对solarwinds供应链攻击事件的技术分析,主要侧重于样本侧植入和同源分析
战术,技术和程序(TTP)机翻:
以下TTP可以用于表征此博客中描述的SUNSPOT活动:
-
在启动时触发使用计划任务的持久性
-
使用AES128-CBC保护二进制文件中的目标源代码文件和后门源代码文件
-
通过硬编码密钥使用RC4加密来保护日志文件条目
-
来自不同执行恶意软件的日志条目,这些条目以硬编码值分隔 32 78 A5 E7 1A 79 91 AC
-
伪装为合法VMWare日志文件的系统temp目录中的日志文件创建C:WindowsTempvmware-vmdmp.log
-
通过读取进程的虚拟内存,查找目标解决方案文件名来检测目标Visual Studio解决方案构建MsBuild.exe
-
访问通过远程进程的PEB结构进行的远程进程参数
-
在编译之前的编译过程中,通过用另一个包含SUNSPOT的版本替换文件内容来替换源代码文件
-
在禁止和恢复警告的语句中插入后门代码#pragma,以防止后门代码行出现在构建日志中
-
检查原始源代码和后门源代码的MD5哈希值,以确保篡改不会导致构建错误
-
尝试打开不存在的互斥锁以检测恶意软件操作员何时希望后门停止执行并安全退出
https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
3、卡巴斯基分析sunburst后门疑似与kazuar具有一定的同源性,可能会关联到Turla。
重点内容(机翻):
-
告诉我们谁在SolarWinds供应链攻击背后?
老实说,我们不知道。到目前为止,我们发现Sunburst与2017年发现的一种名为Kazuar的恶意软件之间存在一些代码相似之处。该恶意软件于2015年左右首次被发现,目前仍在野外使用。我们发现的最先进的Kazuar样本是从2020年12月开始的。在Kazuar演变的五年中,我们观察到了持续发展的过程,其中添加了与森伯斯特相似的重要特征。尽管Kazuar和Sunburst之间的相似之处很明显,但它们的存在可能有很多原因,包括:目前,我们根本不知道这些选项中的哪个是正确的。通过进一步分析,可能会出现证明其中一个或多个观点的证据。需要澄清的是,我们并不是说DarkHalo / UNC2452(使用Sunburst的组)和Kazuar或Turla是相同的。
-
Sunburst与Kazuar由同一团队开发
-
Sunburst开发人员使用了Kazuar的一些想法或代码,而没有直接的联系(他们使用Kazuar的代码作为“灵感”)
-
两组(即DarkHalo / UNC2452)和使用Kazuar的组均从同一来源获得了他们的恶意软件
-
Kazuar的一名开发人员转移到另一个团队,带着他的知识和工具
-
森伯斯特(Sunburst)开发人员将这些微妙的链接作为虚假标记的形式进行了介绍,以将责任推到另一个小组
-
这些相似之处是什么?这些相似之处仅仅是巧合吗?
原则上,这些算法或实现都不是唯一的。特别是,引起我们注意的事情是通过修改后的FNV-1a算法对字符串进行混淆,其中哈希结果是使用64位常量进行XOR运算,C2连接延迟的实现,使用大(且不寻常)值)(Kazuar使用两到四个星期的随机睡眠时间,而Sunburst等待12到14天),并通过MD5 + XOR算法计算受害人的UID。应该指出的是,这些代码片段都不是100%相同的。然而,至少可以说,它们是奇怪的巧合。一个巧合并不是那么不寻常,两个巧合肯定会引起人们的注意,而三个这样的巧合对于我们来说却有点可疑。 -
这是什么Kazuar恶意软件?
Kazuar是一个功能齐全的.NET后门,并首次报道我们从帕洛阿尔托网络在2017年那它可能已被使用的Turla APT组的时间推测研究者的同事,以取代他们的碳平台等Turla第二阶段后门。我们自己的观察结果证实,Kazuar与其他Turla工具一起在过去几年的多次违反中使用,并且仍在使用中。此外,Epic Turla还使用另一个定制版本的FNV-1a哈希来解决导入问题,并且与Kazuar的shellcode具有相似的代码。 -
那么森伯斯特与Turla相连吗?
不一定,有关所有可能的解释,请参阅问题1。 -
媒体声称APT29是对SolarWinds黑客的攻击。你是说错了吗
我们不知道谁是SolarWinds黑客的幕后黑手-我们认为归因是执法和司法机构最好解决的问题。为了明确起见,我们的研究已经确定了Sunburst恶意软件和Kazuar之间的许多共享代码功能。
我们的研究将APT29称为“公爵”的另一个潜在名称,该公爵似乎是一个由多个参与者和恶意软件家族组成的伞形组织。我们最初在2013年报告了该伞中最早的恶意软件MiniDuke。2014年,我们报告了“ The Dukes”使用的其他恶意软件,名为CosmicDuke。在CosmicDuke中,来自恶意软件的调试路径字符串似乎表明“ Bot Gen Studio”的多个构建环境或“用户”组:“ NITRO”和“ Nemesis Gemina”。简而言之,我们怀疑CosmicDuke被多达三个不同的实体所利用,从而增加了跨组共享的可能性。我们2014年研究中有趣的发现之一是我们之前看到的Turla使用的“ Bot Gen Studio” /“ CosmicDuke”实体之一对webshell的使用。这可能表明Turla可能只是“ Dukes”伞下工具的众多用户之一。 -
这与“舒适公爵”有何关系?
2015年,我们对CozyDuke发表了进一步的研究,该研究似乎集中在美国,德国和其他国家的政府组织和商业实体。据媒体报道,2014年的目标包括白宫和美国国务院。当时,媒体还称其为“有史以来最糟糕的黑客”。目前,我们看不到2015年CozyDuke与SolarWinds攻击之间的任何直接联系。 -
与Kazuar的联系牢固程度如何?
来自Sunburst和Kazuar的各个代的几个代码片段非常相似。我们应该指出,尽管类似,但是这些代码块(例如UID计算子例程和FNV-1a哈希算法的用法)以及睡眠循环仍然不是100%相同。连同某些发展选择,这些暗示着类似的思维过程进入了Kazuar和Sunburst的发展。Kazuar恶意软件不断发展,在某些方面,2020年以后的变体在某种程度上与Sunburst分支更相似。但是,我们应该再次强调,它们绝对不是相同的。 -
那么,您是说森伯斯特本质上是改良的Kazuar吗?
我们并不是说Sunburst是Kazuar,也不是Turla APT小组的工作。我们发现了这两个恶意软件家族之间的一些有趣相似之处,并认为世界应该了解它们。我们乐于尽自己的一份力量,将我们的发现贡献给社区讨论;其他人可以自己检查这些相似之处,得出自己的结论并找到更多链接。这里最重要的是发布有趣的发现并鼓励其他人做更多的研究。当然,我们也将继续自己的研究。 -
这是历史上最严重的网络攻击吗?
应始终从受害者的角度来判断攻击。它还应考虑到人身伤害(如果有的话),人员伤亡等。目前,这种攻击的目的似乎是网络间谍活动,即提取敏感信息。相比之下,其他臭名昭著的攻击,例如NotPetya或WannaCry,则具有明显的破坏性,受害人损失数十亿美元。但是,对于某些人来说,这可能比NotPetya或WannaCry更具破坏性。对于其他人来说,相形见s。 -
我们是怎么来到这里的?
在过去的几年中,我们观察到了所谓的“网络军备竞赛”。自2000年代初以来,几乎所有民族国家都急于发展网络空间的进攻性军事能力,而对国防的关注却很少。在购买进攻性网络功能的预算与发展防御能力的预算方面,这种差异立即显而易见。世界需要更多的力量来平衡(网络)力量。否则,现有的网络冲突将继续升级,损害正常的互联网用户。 -
这可能是一个错误的标志吗?
从理论上讲,一切皆有可能。我们已经看到了复杂的虚假标志攻击示例,例如OlympicDestroyer攻击。有关可能的解释的完整列表,请参阅问题1。 -
所以。怎么办?
我们认为,重要的是,世界各地的其他研究人员也必须调查这些相似之处,并试图发现有关Kazuar和Sunburst(SolarWinds漏洞中使用的恶意软件)起源的更多事实。如果我们考虑过去的经验,例如回顾WannaCry攻击,那么在最初的日子里,很少有事实将它们与拉撒路组织联系起来。随着时间的流逝,更多的证据出现了,并允许我们和其他人高度自信地将它们联系在一起。对这个主题的进一步研究对于连接点至关重要。
https://securelist.com/sunburst-backdoor-kazuar/99981/
https://www.zdnet.com/article/third-malware-strain-discovered-in-solarwinds-supply-chain-attack/
https://thehackernews.com/2021/01/unveiled-sunspot-malware-was-used-to.html
4、跟踪与UNC2452相关的报告。看完了,没有我整理的好。
https://github.com/center-for-threat-informed-defense/public-resources/tree/master/solorigate
技术分享
1、分享一个OSINT Google 工具,算是个定向搜索OSINT 工具
https://cse.google.com.hk/cse?cx=fd4729049350a76d0
2、Darkside勒索软件解密工具
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
3、xHunt工具分析,增加webshell和SSH隧道。
https://unit42.paloaltonetworks.com/bumblebee-webshell-xhunt-campaign/
4、几个常见C2 数据包解析分享。就是C2回链的数据包以及http头内容
https://marcoramilli.com/2021/01/09/c2-traffic-patterns-personal-notes/
数据泄露
1、新西兰储备银行“被黑”,被黑的原因是第三方托管服务提供商数据泄露
https://www.bleepingcomputer.com/news/security/new-zealand-reserve-bank-suffers-data-breach-via-hacked-storage-partner/
2、国内一家做海外市场拓展的“笨鸟社交”公司“数据泄露”,泄露了400GB的抓取数据,暴露了200亿以上的Facebook,Instagram和LinkedIn用户。怎么说呢?爬虫不犯法???估计过几天会收到海外某国的法律文书的。
https://www.safetydetectives.com/blog/socialarks-leak-report/
3、70TB Parler用户的消息,视频和帖子数据泄露,这可是专门支持川普的平台。
https://cybernews.com/news/70tb-of-parler-users-messages-videos-and-posts-leaked-by-security-researchers/
4、联合国数据泄露暴露了超过10万个环境署工作人员记录,原因:git账号密码泄露……
https://johnjhacking.com/blog/unep-breach/
网络战与网络情报
1、NSA发布2020年网络安全年度回顾报告
机翻概要:
在网络安全局在2019年7月正式宣布,其重点是保护国家安全的网络和国防工业基础。在网络安全总监Anne Neuberger女士的带领下,该局还致力于通过伙伴关系改善网络安全工作。该报告称,网络安全局在整个2020年仍忠实于其目标,通过将威胁情报和密码学知识与漏洞分析和防御操作相结合,致力于预防和消除网络威胁。
“从2016年总统大选和2018年中期选举中汲取的教训,国家安全局全面参与了整个政府的努力,以保护2020年大选不受外国干涉和影响。网络安全是NSA整体选举防御工作的基本组成部分,”报告(PDF)写道。
去年,美国国家安全局(NSA)帮助国防部(DoD)消除了弱加密技术,并批准了抗量子密码算法,以确保国防部的加密技术足够现代以抵抗量子计算攻击。
在COVID-19大流行的背景下,美国国家安全局(NSA)帮助国防部过渡到远程办公,为大约100,000个用户提供了安全地远程工作的解决方案。此外,原子能机构还参与了“翘曲速度行动”(OWS),这是一项旨在加速开发COVID-19疫苗的工作。
自该局成立以来,NSA已提供了30种独特,及时且可操作的网络安全产品,以向国家安全系统(NSS),国防部和国防工业基地(DIB)网络所有者发出网络威胁警报。
原子能机构在2020年共享的一些情报包括Windows 10漏洞和Drovorub恶意软件的详细信息,与俄罗斯有联系的Sandworm团队将Exim邮件服务器作为目标的IOC ,有关漏洞威胁行为者滥用安装Web Shell恶意软件的错误的详细信息Web服务器,以及25个中国威胁参与者通常针对的漏洞列表。
美国国家安全局表示,尽管网络安全顾问(CSA)主要面向NSS,DoD和DIB所有者,但美国和国外的私营部门也可以利用情报来加强安全状况。
此外,NSA发布了有关正确配置IPsec VPN(IP安全虚拟专用网络),如何自定义统一可扩展固件接口(UEFI)安全启动以及如何在远程办公期间保护网络和员工安全的指南。
去年,美国国家安全局(NSA)的网络安全协作中心致力于推进公私合作,并将持久安全框架(ESF)的工作重心转移到5G部署的安全性上。该机构还启动了网络安全标准中心(CCSS),旨在与标准机构合作。
“ NSA还通过批准的政府内部流程,继续发现并将网络安全漏洞发布给私营企业。在过去的三年中,国家安全局(NSA)披露的漏洞呈上升趋势,因为原子能机构致力于实现美国政府,我们的军队,我们的企业和我们的公民所依赖的商业技术的安全。”
https://media.defense.gov/2021/Jan/08/2002561651/-1/-1/0/NSA%20CYBERSECURITY%202020%20YEAR%20IN%20REVIEW.PDF/NSA%20CYBERSECURITY%202020%20YEAR%20IN%20REVIEW.PDF
https://www.securityweek.com/nsa-publishes-cybersecurity-year-review-report
2、据报道,美国前几天“光荣革命”占领国会事件发生时,几台机密电脑被盗,并发现已登录到政府的机密网络SIPRNet(SIPRNet或秘密Internet协议路由器网络是国防部对民用互联网的分类版本。它是由安全的计算机和服务器组成的网络,允许国防部,国务院和其他政府机构的用户传输机密信息)
估计能卖很多钱……
https://sofrep.com/news/breaking-computers-with-access-to-classified-material-stolen-from-capitol/
本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2021/1/10-12(第338期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论