SolarWinds 公司的 Orion 软件遭遇网络攻击：为什么

作者：张馨予

根据行业媒体的报道，一个名为 "Cozy Bear" 的黑客组织日前对 IT 管理软件开发商 SolarWinds 公司的 Orion 软件进行了破坏性的网络攻击，从而获得了进入美国政府部门和其他组织 IT 系统的权限。而大多数部门和组织并没有为这种对软件供应链的网络攻击做好准备。

黑客组织最近对大型网络安全机构 FireEye 公司的入侵是一次规模更大的网络攻击，该攻击是通过对主流网络监控产品进行恶意更新而实施的，并对一些政府机构和企业造成了影响。该事件凸显了对软件供应链网络攻击可能造成的严重影响，而大多数组织都没有为预防和检测此类威胁做好准备。

今年 3 月，一个黑客组织在一次网络攻击中获得了访问多个美国政府部门 ( 其中包括美国财政部和美国商务部 ) 服务器系统的权限。这一事件导致美国国家安全委员会当时立即召开紧急会议商议应对和解决。

黑客组织 "Cozy Bear" 的网络攻击破坏了 SolarWinds 公司开发的名为 "Orion" 的网络和应用程序监视平台，然后使用这一访问权限来生成木马并将其分发给软件用户。在这一消息传出之后，SolarWinds 公司在其网站上的一个页面宣称，其客户包括美国财富 500 强中的 425 家厂商、美国十大电信公司、美国五大会计师事务所、美国军方所有分支机构、五角大楼、美国国务院，以及全球数百所大学和学院。

对 SolarWinds 公司的软件供应链进行攻击还使黑客能够访问美国网络安全服务商 FireEye 公司的网络，这一漏洞于日前宣布，尽管 FireEye 公司没有透露网络攻击者的名称，但据《华盛顿邮报》报道，网络攻击者可能是 "APT29" 或 "Cozy Bear"。

FireEye 公司在日前发布的一份咨询报告中表示：" 我们已在全球多个实体中检测到这一活动。受害者包括北美、欧洲、亚洲和中东地区的政府部门、咨询机构、科技厂商、电信公司以及矿场，我们预计其他国家和垂直地区还会有更多受害者。我们已经通知受到网络攻击影响的所有实体。"

恶意 Orion 的更新

2020 年 3 月至 2020 年 6 月之间发布的 Orion 2019.4 HF 5 至 2020.2.1 版本的软件可能包含木马程序。但是，FireEye 公司在分析报告中指出，每一次攻击都需要网络攻击者精心策划和人工交互。

网络攻击者设法修改了一个称为 SolarWinds.Orion.Core.BusinessLayer.dll 的 Orion 平台插件，该插件是作为 Orion 平台更新的一部分分发的。这一木马组件经过数字签名，并包含一个后门，可与网络攻击者控制的第三方服务器进行通信。FireEye 公司将该组件作为 SUNBURST 进行跟踪，并已在 GitHub 上发布了开源检测规则。

FireEye 公司分析师说：" 在最初长达两周的休眠期之后，它会检索并执行名为‘作业’的命令，这些命令包括传输文件、执行文件、分析系统、重新启动机器以及禁用系统服务。这一恶意软件将其网络流量伪装成 Orion 改进计划 ( OIP ) 协议，并将侦察结果存储在合法的插件配置文件中，使其能够与合法的 SolarWinds 活动相融合。其后门使用多个混淆的阻止列表来识别正在运行的取证和防病毒工具作为流程、服务和驱动程序。"

网络攻击者将他们的恶意软件覆盖率保持在很低的水平，他们更喜欢窃取并使用凭据，在网络中执行横向移动并建立合法的远程访问。其后门用来交付一个轻量级的恶意软件删除程序，该程序从未被发现过，并且被 FireEye 公司称为 TEARDROP。这个程序直接加载到内存中，不会在硬盘上留下痕迹。研究人员认为，它被用来部署定制版的 Cobalt Strike BEACON 有效载荷。Cobalt Strike 是一种商业渗透测试框架和开发代理，也已被黑客和复杂的网络犯罪组织所采用和使用。

为了避免检测，网络攻击者使用临时文件替换技术远程执行其工具。这意味着他们用他们的恶意工具修改了目标系统上的合法实用程序，在执行之后，然后用合法的工具替换了它。类似的技术包括通过更新合法任务以执行恶意工具，然后将任务还原为其原始配置，从而临时修改系统计划的任务。

FireEye 公司研究人员说：" 防御者可以检查 SMB 会话的日志，以显示对合法目录的访问，并在很短的时间内遵循删除、创建、执行、创建的模式。此外，防御者可以使用频率分析来识别任务的异常修改，从而监视现有的计划任务以进行临时更新。还可以监视任务以监视执行新的或未知二进制文件的合法任务。"

这是 FireEye 公司所观察到的威胁参与者所展示的最好的操作安全性，它专注于检测规避和利用现有的信任关系。不过，该公司的研究人员认为，这些网络攻击可以通过持续防御进行检测，并在其咨询报告中描述了多种检测技术。