虽然SolarWinds恶意软件实施的前所未有的网络攻击规模尚未确定,但它已使网络攻击者能够访问一些最敏感的系统和数据。全球广泛使用的网络监控工具SolarWindsOrion遭到入侵和入侵。在去年3月所谓的“供应链攻击”中,网络攻击者将恶意软件注入更新代码,每次用户运行更新时都会安装木马。“供应链攻击是一种低成本、高影响的威胁,”美国网络安全联盟执行董事凯尔文科尔曼说。“这显然对攻击者很有吸引力,因为他们可以同时实现许多目标。通过SolarWindsOrion更新引入恶意软件已经成为那些认为他们只是在安装或更新经过验证的软件的公司的突破口。”SolarWinds在最近提交给美国网络安全联盟的一份调查文件中表示,机构和组织受到影响。该公司拥有30万客户,包括美国排名前十的电信公司、美国军方的所有五个分支机构、前五名美国的会计师事务所、白宫、五角大楼、美国国务院、国家安全局、美国司法部等重要政府部门。SolarWinds还表示,美国425家世界500强企业该公司的用户包括福特、柯达、思科、万事达卡和微软。网络安全服务提供商RedSeal的CTOMikeLloyd表示,SolarWindsOrion的IT监控服务广泛应用于数据中心。“本质上,任何运行在云端的东西或者在物理数据中心需要进行监控以跟踪正常运行时间、性能和服务可用性,”他说。“这些监控工具通常是se最多关注最关键的资产。这就是为什么SolarWindsOrion是网络攻击者如此重要的目标。如果你看到它所看到的,你就可以有效地看到所有重要的事情。”安装木马后,网络攻击者使用它来入侵受害者的某些网络并泄露敏感数据和电子邮件。已确认的案例包括对美国商务部的攻击,美国财政部和知名网络安全公司FireEye,但网络攻击者对FireEye的攻击功亏一篑,FireEye发现并有效阻止了攻击。FireEye随后发起攻势,以确定网络攻击是如何发生的以及哪些组织受到了影响。FireEye表示,它检测到网络攻击者对全球机构和组织的攻击,包括北美、欧洲、亚洲和中东的政府部门、咨询公司、技术部、电信和矿业公司。“我们预计其他国家和垂直行业会有更多受害者。我们已经通知了所有受影响的实体,”该公司表示。这不是第一次使用供应链攻击来造成毁灭性的后果。2017年,NotPetya恶意软件在全球范围内发起攻击,造成近百亿美元的损失。网络攻击的工作原理当用户下载更新时,针对SolarWinds漏洞(Microsoft称为Solorigate,FireEye称为Sunburst)的网络攻击就开始了。事实证明,SolarWinds公司建议其用户将此更新过程排除在反恶意软件检查之外。SolarWindsOrion工具帮助用户监控他们的网络。系统中的一个缺陷使攻击者可以访问整个网络基础设施。该恶意软件通过使用网络攻击者购买的已经存在一段时间的合法域设置的通信服务器与其制造商通信。这允许它规避安全防御,寻找来自已知恶意站点或全新域的可疑流量。FireEye在其调查报告中说:“在长达两周的初始闲置期后,它会检索并执行命令,包括传输和执行文件、分析系统、重新启动计算机以及禁用系统服务。”功能。”该恶意软件将其活动伪装成合法的Orion增强程序流量,并将其侦察结果存储在合法的插件配置文件中。它还使用模糊黑名单来识别防病毒和其他安全工具。网络攻击者然后伪造身份安全令牌,使他们能够冒充任何用户或帐户,包括特权帐户,这使他们能够绕过Office365等服务的多重身份验证,从提供商到本地和云端。电子邮件帐户。FireEye首席执行官凯文曼迪亚在一份声明中说:“他们训练有素,纪律严明,专注于运营安全。”“他们秘密运作,使用响应安全工具和法医检查的方法。他们采用了我们以前从未见过的新颖技术组合。”此外,网络攻击者利用他们的访问权限渗透现有用户帐户或创建新帐户以访问更多系统。潜在影响截至发布之日,已知受害者包括美国智库FireEye、美国财政部、美国商务部、美国国立卫生研究院、美国网络安全和基础设施局、美国国土安全部和美国国务院。RedSeal的Lloyd说:“用户可能无法判断他们是否真的受到了伤害,如果可能的话,最好假设它确实发生了,这令人沮丧但很重要。”肇事者的目标似乎在??没有造成损害的情况下获得了信息,并且没有受害者报告他们的系统受到损害。然而,对于掌握敏感信息的政府机构、承包商和其他组织而言,敏感信息的丢失可能是灾难性的。因此,美国国土安全部网络安全和基础设施安全局发布了一项罕见的紧急指令,命令美国联邦机构立即关闭所有SolarWindsOrion工具并检查网络是否存在受损迹象。“SolarWindsOrion网络管理产品中的漏洞对美国联邦网络的安全构成了不可接受的风险,”美国网络安全联盟代理主任布兰登威尔士在一份声明中表示。451Research的分析师ScottCrawford表示,这并不意味着其他类型的组织应该感到安全。他指出,美国卷入了一场类似的网络战争,并受到持续的网络攻击,这可能对任何组织造成附带损害。“有时威胁行为者之间的界限很模糊,”克劳福德说。“如果他们有共同的目标,他们就有很好的合作理由。”建议和回应任何组织的安全负责人都应该采取的第一步第一步是确定其基础设施受到影响的程度。SolarWinds发布了用于确定数据中心可能运行的Orion产品版本的说明。美国网络安全联盟建议为运行易受攻击的SolarWinds产品的每个实例保存操作系统和系统内存的映像,以分析新用户或服务帐户,并检查存储的网络流量以寻找妥协指标。FireEye还发布了一份妥协指标列表,并共享了一个免费对策的GitHub存储库。接下来的步骤是删除、升级或隔离受影响的SolarWindsOrion系统。美国网络安全联盟建议彻底删除,而SolarWinds建议升级打补丁。在无法立即完成升级或补丁的情况下,SolarWinds建议尽可能隔离系统。并且建议在防火墙后运行Orion,禁用其互联网访问,将端口和连接限制在绝对必要的范围内。接下来,用户需要删除所有受感染的用户帐户和通信渠道,包括关闭对已知受感染域和IP地址的所有访问。用户还应重置SolarWinds系统有权访问的所有凭据,以及所有特权帐户、身份验证密钥和令牌。Sophos制作了一份极其详细的事件响应手册,随着新信息的出现不断更新。清理完成后,用户可以将系统恢复到上次的良好状态,或者从可信来源重新安装。微软也发布了详细的SolarWinds回应公告。研究法规、风险和合规问题的全球咨询公司StoneTurn的合伙人LukeTenery表示,SolarWinds黑客事件是一个“分水岭事件”。他说:“这一事件表明,即使是最先进的组织,即使他们可能采取了某种程度的安全预防措施,也无法在受信任的第三方受到损害时检测到高度先进的网络攻击。”在此事件中,行业领先的安全机构以及美国政府中一些最注重安全的部门成为受害者。他说,这是供应链攻击的最大危险。因为许多组织信任他们的IT供应商。“解决方案是加强供应商风险管理。但即使是美国最著名的技术供应商也需要监控其系统的完整性和预期行为,”他说。
