虽然SolarWinds恶意软件实施前所未有的网络攻击范围尚未确定,但它使网络攻击者能够访问一些最敏感的系统和数据。
网络监控工具广泛应用于世界各地SolarWinds Orion受到威胁和破坏。去年3月,在所谓的3月“供应链攻击”网络攻击者在更新代码中注入恶意软件,用户每次更新时都会安装木马程序。
美国网络安全联盟执行董事Kelvin Coleman说:“供应链攻击是一种低成本、高影响胁。这显然对攻击者很有吸引力,因为他们可以同时实现许多目标。SolarWinds Orion对于那些认为自己只安装或更新验证软件的公司来说,恶意软件的更新已经成为一个破坏点。”
SolarWinds该公司最近向美国网络安全联盟提交了一份调查文件,称多达1.8万个机构和组织受到了影响。该公司拥有30万客户,包括美国十大电信公司、美国军方五大分支机构、美国五大会计师事务所、白宫、五角大楼、国务院、国家安全局、司法部等重要政府部门。
SolarWinds该公司还表示,福特、柯达、思科、万事达、微软等500强财富公司中有425家是该公司的用户。
网络安全服务提供商RedSeal公司首席技术官Mike Lloyd说,SolarWinds Orion的IT数据中心广泛使用监控服务。“基本上,在云平台或物理数据中心运行的任何东西都需要监控,以跟踪正常运行时间、性能和服务可用性。这些监控工具通常是为关注最关键的资产而设置的。这就是为什么SolarWinds Orion成为网络攻击者重要目标的原因。如果你看到它所看到的,你可以有效地看到所有重要的内容。”
安装木马程序后,网络攻击者使用它来入侵受害者的一些网络,并泄露敏感数据和电子邮件。已确认的案件包括商务部、财政部和著名的网络安全机构FireEye公司攻击。
然而,网络攻击者是对的FireEye公司的攻击功亏一篑。FireEye该公司发现了攻击,并有效地阻止了它。FireEye为了确定网络攻击是如何发生的,是如何发生的,哪些组织受到影响。
FireEye公司表示,它检测到网络攻击者对全球各地机构和组织的攻击,其中包括北美、欧洲、亚洲和中东的政府部门、咨询机构、技术部门、电信和矿业公司。
该公司表示:“我们预计其他国家和垂直行业将有更多的受害者。我们已经通知了受影响的所有实体。”
这不是第一次使用破坏性的供应链攻击。2017年,NotPetya全球恶意软件攻击,造成近100亿美元的损失。
如何进行网络攻击?
当用户下载更新时,对SolarWinds网络攻击的漏洞(微软称之为Solorigate,FireEye公司称为Sunburst)就会开始。
事实证明,SolarWinds该公司建议用户从反恶意软件检查中排除此更新过程。SolarWinds Orion该工具帮助用户监控他们的网络。该系统的一个缺陷使攻击者能够访问整个网络基础设施。
恶意软件通过使用网络攻击者购买的合法域建立的通信服务器与其制造商进行通信,这已经存在了一段时间。这样,它就可以避免安全保护系统,以找到已知的恶意网站或新域的可疑流量。
FireEye公司在其调查报告中指出:“休眠两周后,检索并执行命令,包括传输文件和执行文件、配置文件、重新启动计算机和禁止系统服务。”
恶意软件将其活动伪装成合法的Orion改进程序流量,并将其侦察结果存储在合法的插件配置文件中。它还使用模糊的黑名单来识别反病毒和其他安全工具。
然后,网络攻击者伪造身份安全令牌,使他们能够包括特权账户在内的任何用户或账户,让他们绕过Office 365等服务的多因素身份验证,从供应商进入内部部署和云电子邮件账户。
FireEye公司首席执行官Kevin Mandia声明中说:“他们接受了严格的操作安全培训,纪律和专注。他们秘密操作,使用安全工具和法医检查。他们采用了一种新颖的技术组合,我们以前从未见过。”
此外,网络攻击者利用其访问权限渗透现有用户账户或创建新账户,以访问更多系统。
潜在影响
包括美国智库在内的已知受害者截至公布之日FireEye、财政部、商务部、国家卫生研究所、网络安全和基础设施局、国土安全部和国务院。
RedSeal公司的Lloyd表示:“这是一个令人沮丧但重要的理解,用户可能无法区分他们是否真的受到了伤害,如果可能的话,最好假设它确实发生了。”
到目前为止,网络攻击者的目标似乎是在没有损坏的情况下获取信息,也没有受害者报告对其系统的损害。然而,对于政府机构、承包商和其他信息敏感的组织来说,敏感信息的丢失可能是一个灾难性的打击。
因此,美国国土安全部网络安全和基础设施安全局最近发布了一项罕见的紧急指令,命令美国联邦机构立即关闭一切SolarWinds Orion检查网络是否有危害迹象。
美国网络安全联盟代理总监Brandon Wales声明中说:“ SolarWinds Orion网络管理产品的漏洞给联邦网络的安全带来了不可接受的风险。”
451 Research公司分析师Scott Crawford但这并不意味着其他类型的组织应该感到安全。
他指出,美国卷入了类似的网络战争,并继续受到网络攻击,这可能会对任何组织造成附带损害。
Crawford说:“有时,威胁参与者之间的界限有时是模糊的。如果他们有共同的目标,他们就有充分的合作理由。”
建议和回应
任何组织安全部门负责人都应该采取的第一步是确定其基础设施受到多大影响。SolarWinds公司发布了确定数据中心可能运行的相关信息Orion产品版本说明。
美国网络安全联盟建议运行易受攻击的网络安全联盟SolarWinds保存操作系统和系统内存的图像,分析新用户或服务账户,检查存储的网络流量是否有危害指标。
FireEye公司还发布了危害指标清单,并共享了免费对策GitHub存储库。
下一步是移除、升级或隔离SolarWinds Orion系统。美国网络安全联盟建议完全删除,SolarWinds公司建议升级修理。
不能立即升级或修复,SolarWinds建议尽可能隔离系统。建议防火墙后运行Orion,禁止其互联网访问,将端口和连接限制为绝对必要的端口和连接。接下来,用户需要删除所有损坏的用户账户和通信渠道,包括关闭已知损坏的域和IP所有访问地址。
用户重置用户SolarWinds所有可访问系统的凭证,以及所有特权账户,身份验证密钥和令牌。
Sophos为此,公司推出了一份非常详细的事故响应行动手册,并在获得新信息后不断更新。清洁后,用户可以将系统恢复到最后一个良好状态,也可以从信任的来源重新安装。
微软还发布了详细信息SolarWinds响应公告。
为未来做好准备
全球咨询机构研究法律法规、风险和合规性StoneTurn公司合伙人Luke Tenery说,SolarWinds黑客事件是一个“分水岭事件”。
他说,“这一事件表明,即使是最先进的组织,即使可能采取一定程度的安全预防措施,当可信的第三方受到威胁时,也无法检测到高度先进的网络攻击。”
在这起事件中,行业领先的安全机构 和美国政府中一些最关心安全的部门成为了受害者。他说,这是供应链攻击的最大危险。因为许多组织相信他们IT供应商。
他说,“解决方案是加强供应商的风险管理。然而,即使是美国最著名的技术提供商也应该监控系统的完整性和预期行为。”