近日,知名网络安全公司FireEye和软件厂商SolarWinds遭到(同)APT组织的黑客攻击,不仅导致了“核泄漏”FireEye的红队工具,还通过SolarWinds软件供应链,影响了全球数万家大型企业(包括FireEye),90%以上的世界500强企业都安装了木马软件,在周边引起轩然大波世界。由于SUNBURST采用了前所未见的新攻击方式和技术,商业界和网络安全界都在密切关注、跟踪和分析与此次攻击相关的技术、战术和程序(TTP)。以下是网络安全公司PicusLabs使用MITREATT&CK框架对SolarWinds事件中攻击者所使用的策略、技术和流程进行映射,以了解他们的攻击方式、漏洞影响和缓解方法。研究发现,攻击者使用了20多种ATT&CK战术,以下对其中的十种重要战术进行分析。主要调查结果是,这是一场全球攻击活动,始于2020年3月,目前正在进行中;该攻击有可能影响全球数以千计的公共和私人组织;攻击始于软件供应链攻击;威胁参与攻击者对SolarWindsOrionPlatform软件的一个组件进行了木马化处理,FireEye将其称为SUNBURST(日间爆炸攻击);该软件的木马版本是通过其自动更新机制分发的;攻击者广泛使用了各种防御规避技术,例如伪装、代码签名、混淆文件或信息、删除主机上的指标、虚拟化/沙箱规避;攻击者利用了十种不同的MITREATT&CK策略,包括横向移动、命令和控制以及数据泄露;攻击中使用的技术表明攻击者技术娴熟。针对SolarWinds的攻击中使用的策略、技术和程序(映射到MITREATT&CK框架)此分析使用MITREATT&CK8.1框架。有关参考的攻击策略和技术,请参阅企业版ATT&CK8.1(https://attack.mitre.org/techniques/enterprise/)。1.资源利用T1587.001利用能力:恶意软件攻击者在攻击受害者之前开发恶意软件和恶意软件组件,例如有效负载、植入程序、后门和入侵后工具。攻击者可能会从头开始开发全新的恶意软件,或者他们可能会使用公开可用的工具。在SolarWinds事件中,攻击者将他们的恶意负载嵌入到SolarWindsOrionPlatform软件的合法组件——DLL库SolarWinds.Orion.Core.BusinessLayer.dll中。FireEye将DLL文件的后门版本命名为SUNBURST。SUNBURST后门提供不同的有效载荷,例如,一个前所未见的特定于内存的释放器(FireEye称为TEARDROP)。该投放器能够部署臭名昭著的后期攻击工具CobaltStrikeBeacon。显然,攻击者在FireEye漏洞利用中使用了Beacon,并窃取了FireEye的红队工具(包括Beacon)。T1583.003获取基础设施:虚拟专用服务器在这种MITREATT&CK技术中,攻击者租用虚拟专用服务器(VPS)进行攻击。根据FireEye的研究,攻击者利用VPS使用与受害者来自同一国家/地区的IP地址。FireEye在nGitHub上提供了两条Yara规则来检测TEARDROP。2.初始访问T1195.002供应链攻击:危害软件供应链在软件供应链攻击技术中,攻击者可以在最终用户获得软件之前以多种方式修改软件,包括:源代码源代码存储库(公共或私有)开源依赖源代码开发分发系统更新机制开发环境编译发布版本在SolarWindsOrion漏洞中,攻击者将恶意代码嵌入到SolarWinds库文件SolarWinds.Orion.Core.BusinessLayer.dll中,向后破解了三个版本的OrionPlatform软件被攻击:2019.4HF5、2020.2(尚无修补程序)和2020.2HF1。目前尚不清楚攻击者如何篡改此文件。根据Microsoft的研究,攻击者可能已经破坏并篡改了开发或分发系统以嵌入恶意代码。AnothertheoryisthatattackersmayhaveusedleakedFTPcredentialstouploadmaliciousDLLfilestoSolarWinds'sourcecoderepository.SolarWindsOrionPlatformsoftwareupdatefilescontainingmaliciousDLLbackdoorfilesaredistributedthroughitsautomaticupdatemechanism.Asacountermeasure,checkforatamperedSolarWinds.Orion.Core.BusinessLayer.dllfileinthefollowinglocation:%PROGRAMFILES%\SolarWinds\Orion\%WINDIR%\System32\config\systemprofile\AppData\Local\assembly\tmp\\if该DLL具有以下SHA256哈希值之一,则它是被篡改的恶意版本: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然后,使用最新的防病毒产品扫描上述文件夹,并运行EDR以检测被恶意篡改的SolarWindsfilesandtheir(potentially)unusualbehavior.3.执行T1569.002系统服务:服务执行在这种MITREATT&CK技术中,对手将恶意软件作为Windows服务执行。在安装SolarWinds应用程序或更新期间,被篡改的DLL文件由合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe加载并作为Windows服务安装。4.持久性T1543.003创建或修改系统:Windows服务作为持久性(persistence)的一部分,攻击者可以创建或更改Windows服务以重复执行恶意负载。当Windows启动时,恶意代码作为服务启动。修改后的DLL加载的TEARDROP恶意软件将作为服务在后台运行。5.权限提升T1078有效帐户使用此MITREATT&CK技术,攻击者可以获得并滥用合法凭证来获得初始访问权限、居留权、权限提升、防御规避或横向移动。攻击者在此活动中使用多个有效帐户进行横向移动。6.防御规避(1)T1553.002破坏信任控制:攻击者为了绕过代码签名的应用控制技术,创建、获取或窃取代码签名材料,帮助恶意软件获得有效签名。在SolarWinds事件中,攻击者破坏了SolarWinds的数字证书。请删除受损的SolarWinds证书:"Signer":"SolarwindsWorldwideLLC""SignerHash":"47d92d49e6f7f296260da1af355f941eb25360c4"(2)T1036.005伪装:匹配合法名称或位置作为防御性规避技术,对手的功能它的恶意工件可以通过合法和可信的方式进行更改。这些功能的一些示例包括代码签名、恶意软件文件的名称和位置以及任务和服务的名称。一旦经过伪装,攻击者的恶意制品(例如恶意软件文件)对用户和安全控制来说都是合法的。根据FireEye的报告,SolarWinds攻击的攻击者使用在受害者环境中找到的合法主机名作为其命令和控制(C2)基础设施上的主机名,以避免被发现。此外,该恶意软件将其C2流量伪装成Orion改进计划(OIP)协议。(3)T1036.003伪装:重命名系统实用程序为了避免基于名称的检测,攻击者可以重命名系统实用程序。此外,攻击者用它替换合法的实用程序,执行其有效负载,然后恢复合法的原始文件。(4)T1036.004Masquerade:伪装成任务或服务对手通过将任务/服务的名称伪装成合法任务/服务的名称来逃避检测,以显得良性。攻击者经常使用名称相似或相同的服务来运行在Windows任务计划程序(在Linux和Windows中)中运行的合法Windows和Linux系统服务。(5)T1497.003虚拟化/沙盒规避:基于时间的规避攻击者采用各种基于时间的规避方法,例如在初始执行期间延迟恶意软件的功能,以避免虚拟化和分析环境。就Solarwinds而言,攻击者在安装后将命令和控制通信延迟了两周。(6)T1027.003文件或信息混淆:隐写术在这种MITREATT&CK技术中,攻击者将数据隐藏在数字媒体中,例如图像、音频、视频和文本,以逃避检测。SolarWinds漏洞利用中使用的TEARDROP恶意软件从文件gracious_truth.jpg读取其恶意负载。(7)T1070.004HostIndicatorRemoval:FileDeletion攻击者通过删除恶意文件清除痕迹,最大程度去除攻击痕迹,逃避检测检查。远程访问后,攻击者删除他们的恶意文件,包括后门程序。7、发现T1057进程,攻击者获取系统运行的进程信息,了解网络内系统运行的常用软件和应用程序。攻击者获取流程检查表以确定后续动作的流程。T1012查询注册表攻击者查询Windows注册表以获取有关系统、配置和已安装软件的信息。攻击者通过查询HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography键中的MachineGuid值获取加密机GUID,为每个受害者生成唯一的用户ID。8.横向移动T1021远程服务在这种MITREATT&CK技术中,对手使用有效帐户登录远程服务,例如远程桌面协议(RDP)、SSH和VNC。攻击者使用有效帐户和合法远程访问在目标网络中横向移动。9.命令和控制(1)T1071.001应用层协议:Web协议根据这种技术,攻击者使用应用层(L7)协议进行通信,并将“命令和控制”流量与现有的Web流量混合在一起,以避免检测和Web过滤。SolarWinds漏洞利用中使用的恶意软件利用:请求数据时HTTPGET或HEAD请求发送数据时HTTPPUT或HTTPPOST请求。恶意DLL调用avsvmcloud.com的远程网络基础设施。屏蔽域名并查看网络连接日志。(2)T1568.002动态解析:域名生成算法攻击者使用动态域名生成算法(DGAs)动态生成C2域名,而不是依赖于静态IP地址或域名列表。该活动中使用的后门使用DGA来确定其C2服务器。10.渗透T1041通过C2通道渗透。在这种MITREATT&CK技术中,攻击者通过现有的C2通道窃取数据。当收集到的数据分发到C2服务器时,攻击者使用HTTPPUT或HTTPPOST请求。如果有效负载大于10000字节,则将使用POST方法。否则,将使用PUT方法。参考资料:https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此阅读作者更多好文
