原创 | SolarWinds供应链攻击事件对工业OT/ICS网络攻击预防的启示

作者 | 天地和兴工业网络安全研究院

【编者按】2020年12月曝光的SolarWinds供应链攻击事件成了网络安全行业的头号新闻，这一事件某种程度上将改变IT、OT和ICS网络安全团队的认知和实践。新冠疫情全球流行及原油市场崩溃在2020年造成了相当大的干扰，并改变了IT和网络安全团队的短期工作重点。但是，在进入新年之际，网络安全团队的关注重点将重新回到基础的网络安全问题上，并且自2021年开始将关注针对OT/ICS的网络攻击防御。

一、SolarWinds供应链攻击事件回顾

FireEye于2020年12月初公开披露了一个大型、复杂的网络供应链攻击,SolarWinds产品于2020年3月左右被攻击者植入后门，受到了严重的供应链攻击。

据官方报告描述，SolarWinds软件在2020年3-6月期间发布的版本均受到供应链攻击的影响，攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证，并在休眠2周左右后会和第三方进行通信，并且根据返回的指令执行操作，包括传输文件、执行文件、重启系统等。这些通信会伪装成Orion Improvement Program（OIP）协议并将结果隐藏在众多合法的插件配置文件中，从而达成隐藏自身的目的。

官方证实，大约有18,000个用户已经安装了SolarWinds的后门版本。这次攻击的范围不仅限于政府和网络公司，还包括财富500强企业、重要的国家安全和重要的基础设施提供商等。

研究人员发现，在SolarWinds供应链攻击中使用的恶意软件有四款，分别为Sunspot、Sunburst和Teardrop和Raindrop。攻击者首先部署了Sunspot恶意软件，专门在SolarWinds公司的网络中使用了该恶意软件。攻击者使用该恶意软件修改了SolarWinds Orion应用程序的构建过程，并将Sunburst（Solorigate）恶意软件插入了新版本的IT网络管理系统Orion中。

这些木马化的Orion版本未被发现，并在2020年3月至2020年6月期间活跃在官方的SolarWinds更新服务器上。应用Orion更新的公司还不经意间在其系统上安装了Sunburst恶意软件。但是，Sunburst恶意软件并不是特别复杂，除了收集有关受感染网络的信息并将数据发送到远程服务器之外，并没有做太多其他事情。当黑客决定“升级访问权限”时，他们使用Sunburst下载并安装了Teardrop恶意软件，但是在某些情况下黑客会选择部署Raindrop恶意软件。

遭受SolarWinds黑客入侵的安全公司至少有四家，分别为Microsoft、FireEye和CrowdStrike和Malwarebytes。美国多政府机构联合声称，该供应链攻击事件可能由与俄罗斯政府有关的APT组织发起。

OT网络安全团队必须有所准备，对工业控制系统的复杂攻击将成为新常态。对于许多OT/ICS公司而言，更令人担忧的是，SolarWinds供应链攻击也集中于中小型企业。这些攻击在数字和物理领域都敲响了警钟。当前，网络安全负责人必须立即采取行动，并在OT/ICS环境中实施网络攻击预防。

二、工业领域的SolarWinds受害者

Microsoft、FireEye、CrowdStrike等多家组织已对这一重大事件进行了跟踪分析，深入的调查研究仍在进行中。嵌入SolarWinds SunBurst后门的技术细节已经被公开报道，第二阶段的工具正在被发现，但攻击的规模和幕后黑手的兴趣仍在调查中。尽管如此，关于受到的组织数量以及第二阶段工具可能已部署的信息仍然有限。基于对历史C2 DNS响应的分析，有一些关于参与者的猜测。

卡巴斯基研究人员对有多少工业组织使用后门版本的SolarWinds并成为受害者特别关注，并进行了相关研究。

首先，研究人员使用了一些公共可用列表和第三方列表来分析从SunBurst域名生成算法生成的DNS名称获得的所有可用的已解码内部域名。可读和可归属域名的最终列表由将近2000个域名组成。可能受到损害的工业组织经营的行业的信息如下图所示，工业组织占名单上所有组织的总百分比估计为32.4%。

研究人员还分析了安装了后门版本的SolarWinds应用程序的遥测系统的用户信息，并区分了工业领域20多个组织：

工业领域	数量
制造业	8
运输与物流	6
公用事业	4
施工	4
矿业	3
能源	2

工业组织的地理分布广泛，包括贝宁、加拿大、智利、吉布提、印度尼西亚、伊朗、马来西亚、墨西哥、荷兰、菲律宾、葡萄牙、俄罗斯、沙特阿拉伯、台湾、乌干达，和美国等国家和地区。从北美到亚太地区，所有受害者的地理位置几乎覆盖了整个世界。

SolarWinds软件已高度集成到全球不同行业的许多系统中。研究人员目前尚无证据表明遥测中的任何工业组织都遭到了攻击者的升级。

Truesec根据从威胁行为者使用的服务器收到的响应，提供了一份可能的第二阶段受害者名单，其中包括总部位于不同国家的几个工业组织。因此，如果符合参与者的利益，不应该排除在某些工业网络中开展更广泛活动的可能性。

三、常见的OT/ICS网络安全谬论

备受瞩目的SolarWinds供应链攻击事件以及随之而来的在2021年实施OT网络攻击预防措施的紧迫感，足以澄清之前关于OT/ICS网络安全的谬论。

我们没有受到攻击，因此网络安全并不是我们的迫切需求。该供应链攻击事件表明，攻击者在破坏关键基础设施网络、隐藏其侦察工作以及长时间隐藏网络访问方面的复杂程度。网络入侵或破坏并不总是会导致立即可见的网络攻击。

我们太小了，没人愿意攻击我们。在当前几乎无限制的网络战环境中，每个组织都在遭受攻击，无论他们是否愿意承认。在SolarWinds Orion黑客攻击中，该公司已通知33,000位客户，多达18,000位用户下载了包含后门的软件更新，从而使攻击者可以访问网络，显然，其中包括大型、中型和小型企业组织。

网络攻击的目标是每个组织。各种规模的组织，尤其是关键基础设施和流程行业的组织，都必须避免成为这些攻击者的攻击目标。

我们有气隙隔离，因此网络安全对我们来说并不担心。在与OT和ICS运营人员的对话中，气隙隔离仍然被频繁的提出。SolarWinds黑客事件导致政府、国防、企业和关键基础设施组织遭受后门恶意软件的攻击。事实证明，如今几乎没有组织存在真正的气隙隔离。此外，Mission Secure多年来为世界各地运营关键资产（如无人机、油轮、海上平台、炼油厂、发电厂、水处理设施、交通管理系统等）的客户进行网络风险评估的多年经验表明，没有一个真正的气隙隔离。

四、缓解建议

2021年开始是时候关注OT/ICS环境中的网络攻击预防了。一旦进入缺乏细粒度或零信任访问控制和微隔离的网络的外围防火墙，单点安全解决方案就不足以保护组织最重要的资产免受当今的网络对手和威胁的侵害。

网络安全公司Palo Alto Networks首席执行官称，每个企业和联邦机构都需要评估其网络安全。以下是针对SolarWinds可能受害者的建议：

1、检查是否安装了有后门的SolarWinds版本

对于所有SolarWinds客户，美国国土安全部建议其管辖范围内的所有组织和机构“立即从其网络中断开或关闭2019.4至2020.2.1 HF1版本的SolarWinds Orion产品”。在CISA指示受影响的实体重建Windows操作系统并重新安装SolarWinds软件包之前，禁止代理商将Windows主机操作系统（重新）加入企业域。

此外，由于黑客可能会针对类似SolarWinds的OT环境中收集设备清单的其他工具，因此建议OT网络安全组织与其供应商联系，要求提供文件，证明这些清单跟踪机制已针对网络和暴力攻击进行加固。

2、实施基于网络的零信任、微隔离

几乎所有针对OT/ICS环境的重大网络攻击都在整个攻击链中包含了一定程度的外部指挥控制（C2）和侦察或数据收集。为了最大限度地减少和/或完全防止这些攻击技术，安全人员建议实施基于网络的零信任、微隔离。

基于网络的隔离和保护，可以识别和阻止外部C2通信以及后续的网络扫描或侦察，可以防止像SolarWinds事件中Sunburst恶意软件那样的感染的影响。

此外，基于网络的隔离和保护可以防止未经授权的OT/ICS协议通信以及这些技术存在的大量攻击选项。由于OT系统具有广泛的遗留问题，专有和非标准协议和接口，因此存在各种各样的恶意和格式错误的协议攻击。

在OT/ICS网络内部实施基于网络的隔离和保护可以消除大量OT威胁，从而有助于阻止OT的网络攻击。

3、对关键资产进行连续的信号完整性监控，以防止物理基础设施受到网络攻击

在OT/ICS环境中，最具破坏性的网络攻击首先是通过引入简单的恶意软件（例如SolarWindsSunburst恶意软件）进行的入侵，但随后被允许继续进行，直到实施某种破坏性物理攻击为止。

此类物理攻击的典型示例是十年前的Stuxnet网络攻击，该攻击专门用于破坏目标基础结构。达到此阶段的网络攻击会严重威胁生命、安全和环境。

正是出于这个原因，即使面对成功的OT网络入侵，研究人员仍建议对关键的物理资产进行连续的信号完整性监控，以防止这些灾难性的后果。绝对不允许在物理基础架构上进行网络攻击，并且持续进行信号完整性监控旨在防止攻击和这些后果。

4、如果检测到安装了后门版本的SolarWinds或相关的IOC，启动安全事件调查并启动事件响应程序，同时考虑所有可能的攻击向量：

● 隔离已知遭到破坏的资产，同时保持系统的可操作性；

● 防止删除可能对调查有用的IOC；

● 检查所有网络日志中是否有可疑的网络活动；

● 检查系统日志、事件日志和安全日志以进行非法的用户账户身份验证；

● 找到可疑的进程活动，调查内存转储和相关文件；

● 检查与可疑活动相关的历史命令行数据。

五、结论

对于OT和ICS关键基础设施和流程行业公司而言，2020年是艰难的一年，就像对我们其他人一样。而SolarWinds供应链攻击事件，是小型企业和大型企业都陷入无限网络战争环境的最新示例。因此，随着进入新的一年，实施OT/ICS网络攻击预防的紧迫感将越来越明显。

参考资源：

1.https://www.missionsecure.com/blog/solarwinds-fireeye-hack-urgent-case-for-cyber-attack-prevention-versus-detection-in-ot-ics-networks

2.https://ics-cert.kaspersky.com/reports/2021/01/26/sunburst-industrial-victims/

3.https://www.zdnet.com/article/fourth-malware-strain-discovered-in-solarwinds-incident/

转载请注明来源：网络安全应急技术国家工程实验室

本文始发于微信公众号（网络安全应急技术国家工程实验室）：原创 | SolarWinds供应链攻击事件对工业OT/ICS网络攻击预防的启示