freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SolarStorm攻击事件分析
2021-01-05 10:40:38

12月13日,安全团队发现针对SolarWinds Orion软件供应链的攻击事件,攻击者试图获得一些关键网络的持久控制权。鉴于这一事件的重要性,安全人员根据现有信息,公布攻击时间线,以便网络安全社区尽快了解它的全貌。目前无法完全追溯攻击活动是从何时开始的,但证据表明,SolarStorm的C2基础设施早在2019年8月就已建立,第一个修改后的SolarWinds软件于2019年10月发布。

时间线

下图时间线显示了攻击事件摘要,从2019年8月开始,一直持续到2020年12月。

1609812298_5ff3c94aee970562358c9.png!small?1609812299274

对SolarWinds软件分析显示,代码修改发生在2019年10月,第一批武器化软件更新(SUNBURST恶意软件)在2020年3月才发布,还发现了两个2019年10月出现的SolarWinds软件样本。

大部分攻击使用的基础设施是在2019年12月至2020年3月之间发现的,其中incomeupdate[.]com,在2019年8月注册,在2020年2月至4月期间获得了许多相关域的SSL证书。查看对avsvmcloud[.]com请求的DNS日志,从2020年4月到11月的,每月DNS日志中的请求数如下图所示。

1609812518_5ff3ca26c66c934157faf.png!small?1609812519094

请求开始于4月份,即SolarStorm发布恶意更新后不久,7月达到巅峰值并开始逐渐下降。

活动分析

在分析现有信息的过程中,发现涉及TEARDROP恶意软件的相关活动,这些恶意软件被用来执行定制的Cobalt Strike BEACON。此示例包含对以前未报告的域mobilnweb[.]com的信标请求。

TEARDROP DLL SHA256:

118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51

并包含对URI“/2019/Person-With-Parnters-Brands-Our/”和用户代理为“Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36”的信标请求 。 在相同的配置中还观察到一个附加的URI设置,其中包含字符串“/2019/This-Person-Two-Join-With/”,还存在以下水印设置。

SETTING_C2_POSTREQ:
Referer: https://yahoo[.]com/
Host: mobilnweb[.]com
Accept: */*
Accept-Language: en-US
Connection: close
name=”uploaded_1″;filename=”91018.png”
Content-Type: text/plain

SETTING_SPAWNTO_X86:
%windir%\syswow64\msinfo32.exe

SETTING_SPAWNTO_X64:
%windir%\sysnative\control.exe

配置显示referer为https://yahoo[.]com,但没有证据表明雅虎被用于实际的beacon。

基础设施建立时间表

其中一些域的注册日期早于描述日期,显示的日期是域修改日期,被认为是攻击者获得对该域控制权的日期。

1609813115_5ff3cc7bd95a047e32279.png!small?1609813116234

以下SSL证书与SolarStorm基础设施有关。所有证书均由Sectigo RSA颁发。

1609813173_5ff3ccb5b83895b00c8a5.png!small?1609813174263

其他工具与技术

报告表明,SolarStorm在这次事件中使用了许多其他的技术和工具。目前总结如下:

VMware

早些时候发布了CVE-2020-4006(命令注入漏洞)的报告,称俄罗斯国家资助的机构正在积极利用这一漏洞,并建立即修补。利用此漏洞,攻击者可以在系统上部署webshell并访问受保护的数据。一旦攻击者已进入网络,就有可能利用此漏洞获得额外的访问权限。

VMware声称他们的环境中有SolarWinds Orion系统,但他们没有发现任何被攻击的迹象。

微软/SAML

微软已经发布了多份与此次攻击活动相关的报告,他们公开表示正在与40多家公司合作,这些公司是这次袭击的目标。具体而言,攻击者已过滤SAML令牌签名证书,使其能够伪造令牌并访问这些证书所信任的任何资源。证书泄露意味着攻击者获得了网络中最高级别的权限,并可使用这些权限建立对网络的长期访问。

SUPERNOVA Webshell

FireEye初步报告中包括了一个称之为SUPERNOVA的Webshell。

MFA绕过

SAML令牌伪造攻击允许攻击者规避多因素身份验证系统,身份验证系统本身会受到损害。Volexity发表了一份关于一个名为“Dark Halo”威胁组织的报告,现已经将其与此次事件联系起来。

其他初始访问向量

12月19日,CISA更新威胁的警报,除了SolarWinds Orion平台之外,还有其他初始接入媒介。

软件供应链攻击

2017年底,研究人员发表了一篇题为“软件供应链攻击的时代已经开始”的文章,阐述了软件供应链攻击,以下重大事件摘要。

2015年9月——XcodeGhost:攻击者分发了一个版本的苹果Xcode软件(用于构建iOS和macOS应用程序)。

2016年3月——KeRanger:开源BitTorrent客户端Transmission被泄露,安装程序中包含macOS勒索软件。攻击者破坏了服务器,因此下载并安装该程序的用户将受到恶意软件的感染。

2017年6月-NotPetya:攻击者通过更新“MeDoc”金融软件,入侵了一家乌克兰软件公司,感染系统后,恶意软件会传播到网络中的其他主机,并在全球范围内造成影响。

2017年9月-CCleaner:攻击者破坏了Avast的CCleaner工具,数百万人使用该工具。

2019年9月,攻击者通过临时VPN配置文件访问Avast的网络后,再次锁定Avast的CCleaner工具。

总结

目前还不完全了解此次攻击的规划和执行情况,迄今为止的分析可知,SolarStorm的活动早在其基础设施扩建阶段(2019年8月)就开始了。虽然SolarStorm能够利用许多技术来实现其目标,但除了受损的SolarStorm软件外,其他初始访问方式的详细信息尚未得到证实。

研究链接

SolarStorm Threat Brief – Unit 42, Palo Alto Networks

VMware Vulnerability Threat Brief – Unit 42, Palo Alto Networks

SUPERNOVA Webshell – Unit 42, Palo Alto Networks

Software Supply-Chain Attack Predictions – Palo Alto Networks

SolarWinds Rapid Response – Palo Alto Networks

VMware Vulnerability Report – Krebs on Security

Dark Halo SolarWinds Compromise – Volexity

Updates on SolarWinds Compromise – Cybersecurity & Infrastructure Security Agency

VMware Vulnerability Cybersecurity Advisory – National Security Agency

SUNBURST Malware Countermeasures – FireEye

SolarWinds Compromise Research – FireEye

Cyber Attack against FireEye – FireEye

SolarWinds Supply Chain Attack – ReversingLabs

CCleaner Targeting 2019 – Avast

Solorigate Analysis – Microsoft

Guidance on SolarWinds Activity – Microsoft

DGA Domain Takedown – ZDNet

SolarWinds Compromise Initial Timing – SecurityScorecard

原文链接

unit42





本文作者:, 转载请注明来自FreeBuf.COM

# solarwinds
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑