近日,知名网络安全企业FireEye和软件厂商SolarWinds依次被(同一)APT机构入侵,不仅导致FireEye的红队专用工具“核泄露”,与此同时还根据SolarWinds手机软件供应链管理危害全世界数十万知名企业(包含FireEye),超出九成资本500强公司安裝了木马病毒化手机软件,在全世界刮起强烈反响。
因为“日爆进攻”(SUNBURST)选用了前所未见的全新升级进攻方式和技术性,商业界和网络安全界正密切关注、追踪和剖析本次进攻有关的技术性、战略和程序流程(TTP)。
下列,是网络安全企业Picus Labs用MITER ATT&CK架构投射了SolarWinds事情中网络攻击应用的对策、技术性和步骤,以掌握其进攻方式、系统漏洞危害和减轻方式,研究发现网络攻击使用了超出20个ATT&CK战略,下列对在其中十种关键战略开展剖析。
关键发觉
- 这也是一场国际性的进攻主题活动,起源于2020年3月,现阶段已经进行中;
- 进攻主题活动有可能危害全世界不计其数的公共性和个人机构;
- 进攻起源于手机软件供应链管理进攻;
- 危害参加者对SolarWinds Orion Platform手机软件的一个部件开展了木马病毒化,该木马部件被FireEye称之为SUNBURST(日爆进攻);
- 此软件的木马病毒版本号是根据其自动升级体制派发的;
- 网络攻击很多应用各种各样防御力避开技术性,例如掩藏、代码签名、搞混的文档或信息内容、删掉服务器上的indicator,及其虚拟化技术/沙盒游戏避开;
- 网络攻击运用了十种不一样的MITER ATT&CK战略,包含横着挪动、指令和操控及其数据泄漏;
- 进攻中采用的技术性说明网络攻击有着精湛专业技能。
对于SolarWinds的伤害中采用的战略,技术性和程序流程(投射到MITER ATT&CK架构)此次剖析应用MITER ATT&CK 8.1架构。所引入的进攻对策和技术性,客户程序商业版ATT&CK 8.1
(https://attack.mitre.org/techniques/enterprise/)。
1.資源开发设计
T1587.001开发作用:恶意程序
网络攻击会在进攻受害人以前开发设计恶意程序和恶意软件部件,例如有效载荷、推广程序流程(dropper)、侧门和入侵中后期专用工具。网络攻击很有可能会从头开始开发设计全新升级的恶意程序,还可以应用公布可以用的专用工具。
在SolarWinds事情中,网络攻击将其故意负载置入到SolarWinds Orion Platform手机软件的合理合法部件——DLL库SolarWinds.Orion.Core.BusinessLayer.dll。FireEye将该DLL文件的侧门版本号取名为SUNBURST 。上述SUNBURST侧门给予不一样的有效载荷,例如,之前从来没见过的运行内存专用型Dropper(FireEye称作TEARDROP)。该dropper可以布署灭绝人性的中后期进攻专用工具Cobalt Strike Beacon。显而易见,网络攻击在FireEye系统漏洞中采用了Beacon,并盗走了FireEye的Red Team专用工具(主要包括Beacon)。
T1583.003获得基本构造:虚似专用型网络服务器
在这类MITER ATT&CK技术性中,网络攻击为进攻主题活动租赁了虚似专用型网络服务器(VPS)。依据FireEye的科学研究,网络攻击运用VPS应用与受害人同一我国的IP地址。FireEye在nGitHub上保证了2个Yara标准来检验TEARDROP 。
2.原始浏览
T1195.002供应链管理进攻:入侵手机软件供应链管理
在手机软件供应链管理进攻技术性中,网络攻击可以在终端用户获得手机软件以前对它进行多种多样改动,包含:
- 源码
- 源代码储存库(公共性或私有化)
- 开源系统依靠的源码
- 开发设计和派发系统软件
- 升级体制
- 开发工具
- 编译程序后的发售版本号
在SolarWinds Orion系统漏洞中,网络攻击根据将恶意程序置入到SolarWinds元件库SolarWinds.Orion.Core.BusinessLayer.dll中,向后进攻了Orion Platform手机软件的三个版本号:2019.4 HF 5、2020.2(暂未热修复补丁包)和2020.2 HF 1 。尚不清楚网络攻击怎样伪造此文档。依据微软公司的科学研究,网络攻击很有可能早已入侵和伪造了开发设计或派发系统软件以内嵌式恶意程序。另一个观点是,网络攻击很有可能应用泄露的FTP凭证将故意DLL文件上传入SolarWinds的源码储存库文件。
包括故意DLL侧门文档的SolarWinds Orion Platform系统更新文档是根据其自动升级体制派发的。
做为防范措施,请查验下列部位是不是存有伪造的SolarWinds.Orion.Core.BusinessLayer.dll文档:
%PROGRAMFILES%\SolarWinds\Orion\%WINDIR%\ System32\config\systemprofile\AppData\Local\assembly\tmp \\
假如该DLL具备下列SHA256哈希值之一,则它是被修改的故意版本号:
- 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
- dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
- eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
- c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
- ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
- 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
- ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
- a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
随后,应用全新的病毒防护商品扫描仪以上文件夹名称,并运作EDR以检验被故意伪造的SolarWinds文件以及(潜在性)出现异常个人行为。
3.实行
T1569.002服务程序:服务项目实行
在该MITER ATT&CK技术性中,敌人将恶意程序做为Windows服务项目实行。在安裝SolarWinds应用软件或升级的历程中,被修改的DLL文件由合理合法SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe载入并做为Windows服务项目安裝。
4.停留
T1543.003建立或修改系统:Windows服务项目
做为停留(持续性)的一部分,网络攻击可以建立或变更Windows服务项目以反复实行故意合理负荷。Windows运作时,恶意程序将做为服务项目运行。改动后的DLL载入的TEARDROP恶意程序将做为服务项目在后台程序。
5. 权利提高
T1078合理帐户
应用这类MITER ATT&CK技术性网络攻击可以获得并乱用合理合法凭证来得到原始浏览权、停留、权利提高、防御力躲避或横着挪动。网络攻击在这里进攻主题活动中应用好几个合理账号开展横着挪动。
6.防御力躲避
(1) T1553.002毁坏信赖操纵:代码签名
要想绕开运用控制系统,网络攻击根据建立、获得或盗取代码签名原材料来帮恶意程序获得合理的签字。
在SolarWinds事情中,网络攻击毁坏了SolarWinds的数字证书。
请清除损伤的SolarWinds资格证书:
- “Signer”:“Solarwinds Worldwide LLC”
- “SignerHash”:“47d92d49e6f7f296260da1af355f941eb25360c4”
(2) T1036.005 掩藏:配对合理合法名字或部位
做为一种防御力避开技术性,敌人可以根据合理合法和靠谱的方法变更其故意产品工件的作用。这种作用的一些实例包含代码签名、恶意程序文档的名字和部位,每日任务和服務的名字。掩藏后,网络攻击的故意产品工件(如恶意程序文档)对客户和安全控件来讲全是合理合法的。
依据FireEye的汇报,SolarWinds系统漏洞的网络攻击应用在受害人自然环境中寻找的合理合法IP地址做为其Command and Control(C2)基本构造上的IP地址,以防止被检验到。除此之外,该恶意程序将其C2总流量装扮成Orion Improvement Program(OIP)协议书。
(3) T1036.003 掩藏:重新命名系统软件程序流程
为了防止根据名字的检验,敌人可以重新命名系统软件程序流程。除此之外,网络攻击用其更换合理合法的应用工具,实行其合理负荷,随后修复合理合法的初始文档。
(4) T1036.004掩藏:伪装每日任务或服务项目
敌人将每日任务/服务项目的名字装扮成合理合法每日任务/服务项目的名字,以便其看上去是合理的,进而躲避了检验。网络攻击常应用与Windows Task Scheduler(在Linux和Windows中)中运作的合理合法Windows和Linux服务程序名字相近或一致的服务项目。
(5) T1497.003虚拟化技术/沙盒游戏躲避:根据时间段的躲避
网络攻击选用各种各样根据时间段的避开方式,例如在原始实行时延迟时间恶意程序的作用,以防止虚拟化技术和剖析自然环境。在Solarwinds事情中,网络攻击在组装后延迟时间两个星期内才启动命令和操纵通讯。
(6) T1027.003 文档或信息内容搞混:隐写术
在这类MITER ATT&CK技术性中,网络攻击将数据掩藏在数字媒体技术中,例如图象、声频、短视频和文原本逃避检验。SolarWinds系统漏洞中采用的TEARDROP恶意手机软件文本文件gracious_truth.jpg中载入了恶意负荷。
(7) T1070.004 服务器指标值清除:删除文件
攻击者删掉其恶意文档以消除印痕,并较大水平地消除进攻印痕,以逃避检验和查验。远程连接后,攻击者会删掉其恶意文档,包含侧门。
7.发觉
T1057流程发现
攻击者获取相关系统软件上已经运作的过程的信息,以掌握互联网内系统软件上运转的普遍手机软件和应用软件。攻击者得到流程明细以明确后面行为的流程。
T1012查看注册表文件
攻击者查看Windows注册表文件以获取相关系统软件,配备和已安装程序的信息。攻击者根据查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography密匙中的MachineGuid值来获取数据加密电子计算机GUID,认为每一个受害人转化成唯一的客户ID。
8.横着挪动
T1021远程服务
在这类MITER ATT&CK技术性中,敌人应用合理账户登录远程服务,例如远程桌面连接协议书(RDP)、SSH和VNC。攻击者应用合理账号和正规的远程连接在总体目标互联网中横着挪动。
9.指令与操纵
(1) T1071.001应用层协议:Web协议书
依据该技术性,攻击者应用应用软件层(L7)协议书开展通讯,并将“指令与操纵”总流量与目前的Web总流量混和在一起,以防止检验和互联网过虑。SolarWinds系统漏洞中采用的恶意手机软件运用了:
- 要求数据信息时的HTTP GET或HEAD要求
- 传送数据时的HTTP PUT或HTTP POST要求。
恶意DLL会启用avsvmcloud.com的远程控制网络基础构造。阻拦该网站域名并查验数据连接日志。
(2) T1568.002动态性分析:网站域名转化成优化算法
攻击者应用动态域名转化成优化算法(DGAs)动态性转化成C2网站域名,而不是借助静态IP详细地址或域名列表。此进攻主题活动中采用的侧门应用DGA来判定其C2网络服务器。
10.渗入
T1041根据C2安全通道渗入。这类MITRE ATT&CK技术性中,攻击者根据在目前的C2安全通道来盗取数据信息。当搜集的数据资料被派发到C2远程服务器,攻击者会应用HTTP PUT或HTTP POST要求。假如有效载荷超过10000个字节数将应用POST方式。不然,将应用PUT方式。
参考文献:
https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获取受权】
戳这儿,看该创作者大量好文章