如果你更喜欢听DomainTools研究团队讨论他们的分析,它是我们最近一集的绝命毒师,这篇文章的底部包含了哪些内容.
背景
自最初披露先由FireEye然后微软2020年12月中旬,额外的实体将从Volexity来赛门铁克来CrowdStrike(以及其他公司)公布了一项活动的进一步细节,这些活动被称为“太阳风事件”、“SUNBURST”或“Solorigate”。DomainTools提供了独立分析的网络基础设施,防守的建议,并有可能归因的物品在这个时期也是如此。
然而,也许是最深入分析在撰写本文时,微软于2021年1月20日发布了这次入侵。在其他有趣的观察中,微软最近的报告确定了以下项目:
- 攻击者显示了难以置信的高级别操作安全(OPSEC),以避免识别或最终发现SUNBURST后门。
- 窄范围定制的操作,不仅对每个受害者,甚至对每个主机独特的Cobalt Strike配置、文件命名约定和其他对抗行为的工件。
- 可能使用特定于受害者的命令和控制(C2)基础设施,包括唯一的域和主机ip,以进一步混淆操作,同时限制基于指标的分析和警报的效力。
上述发现强调,以指示器为中心的方法来防御类似sunburst的攻击将失败,因为对手有能力和意愿避免指示器重用。此外,由CrowdStrike,伪,并有可能Mimecast我们还知道,“SolarWinds actor”利用了额外的初始感染载体(最明显的是滥用Office365、Azure Active Directory和相关的基于微软的云服务)。因此,除了使用受影响版本的SolarWinds Orion软件的实体之外,多个实体必须认识到并积极防御此参与者的操作——然而,鉴于此参与者的OPSEC功能,基于指示器警报和阻止的防御将失败。
sunburst相关命令和控制概述
根据多家供应商的报告,已经强烈怀疑SUNBURST和相关网络基础设施可能是特定受害者的,至少在入侵的某些阶段是如此。如下图所示,对于特定于sunburst的感染载体,C2行为经过三个不同的阶段:最初的DNS通信到共同的第一阶段C2节点(avsvmcloud[.]com);通过对初始DNS请求的规范名称(CNAME)响应传递到第二阶段C2节点的后续接收和通信;最后是第三级C2,对应于安装在受害机器上的钴打击信标有效载荷。
在微软2021年1月20日的报告中,我们确认,虽然第一和第二阶段C2活动可能具有受害者之间的共性,但第三阶段与Cobalt Strike信标相关的活动不仅包括每个受害者的唯一性,还可能包括每个主机的唯一性:
在这种情况下,单个指示器(域或IP地址)在最初的SUNBURST阶段之后实际上是无用的,并且对于对手使用的非太阳风感染载体来说可能完全不切实际。与基于妥协指标(IOC)的防御不同,防御者需要迁移到识别行为和基础设施模式,以标记可能与此事件相关的基础设施。
模式,或缺乏模式
在撰写本文时,在多个供应商中,有29个具有与SUNBURST和相关活动相关联的IP地址的域具有很高的可信度。
| 域 | 创建日期 | 知识产权 | 托管提供商 | SSL / TLS证书 | 注册商 | 名称服务器 | 目的 | 首次报道 |
|---|---|---|---|---|---|---|---|---|
| aimsecurity。净 | 2020-01-23 | 199.241.143.102 | VegasNap有限责任公司 | 6 a448007f05bd5069cd222611ccd1e66b4466922 | Epik公司,Epik公司 | epik。com | CobaltStrike信标C2 | 微软 |
| avsvmcloud。com | 2018-07-25 | 各种各样的 | 各种各样的蔚蓝 | N/A | NameSilo,有限责任公司 | 自我 | SUNBURST第一阶段DNS C2 | FireEye |
| databasegalore。com | 2019-12-14 | 5.252.177.21 | MivoCloud SRL | d400021536d712cbe55ceab7680e9868eb70de4a | NAMECHEAP上公司 | registrar-servers。com | 可能的信标C2 | FireEye |
| datazr。com | 2019-09-03 | 45.150.4.10 | Buzoianu玛丽安 | 8387年c1ca2d3a5a34495f1e335a497f81a8be680d | Epik公司。 | epik。com | CobaltStrike信标C2 | 微软 |
| deftsecurity。com | 2019-02-11 | 13.59.205.66 | 亚马逊科技公司 | 12 d986a7f4a7d2f80aaf0883ec3231db3e368480 | NameSilo,有限责任公司 | dnsowl。com | SUNBURST第二阶段C2 | FireEye |
| digitalcollege。org | 2019-03-24 | 13.57.184.217 | 亚马逊科技公司 | fdb879a2ce7e2cda26bec8b37d2b9ec235fade44 | 最后求助基金会缝合注册主任 | registrar-servers。com | 未知的 | Volexity |
| ervsystem。com | 2018-02-04 | 198.12.75.112 | ColoCrossing | 0548年eedb3d1f45f1f9549e09d00683f3a1292ec5 | Epik公司。 | epik。com | CobaltStrike信标C2 | 赛门铁克 |
| 金融市场。org | 2001-10-02 | 23.92.211.15 | 约翰·乔治。 | a9300b3607a11b51a285dcb132e951f03974da27 | Namesilo,有限责任公司 | dnsowl。com | CobaltStrike信标C2 | 微软 |
| freescanonline。com | 2014-08-14 | 54.193.127.66 | 亚马逊科技公司 | 8296028 c0ee55235a2c8be8c65e10bf1ea9ce84f | NAMECHEAP上公司 | registrar-servers。com | SUNBURST第二阶段C2 | FireEye |
| gallerycenter。org | 2019-10-10 | 135.181.10.254 | 赫茨纳在线有限公司 | a30c95b105d0c10731c368a40d5f36c778ef96e6 | NAMESILO,有限责任公司 | dnsowl。com | CobaltStrike信标C2 | 微软 |
| globalnetworkissues。com | 2020-12-16 | 18.220.219.143 | 亚马逊科技公司 | ff883db5cb023ea6b227bee079e440a1a0c50f2b | 关键系统GmbH是一家 | registrar-servers。com | 未知的 | Volexity |
| highdatabase。com | 2019-03-18 | 139.99.115.204 | OVH新加坡 | 35 aeff24dfa2f3e9250fc874c4e6c9f27c87c40a | NAMESILO,有限责任公司 | dnsowl。com | SUNBURST第二阶段C2 | FireEye |
| incomeupdate。com | 2016-10-02 | 5.252.177.25 | MivoCloud SRL | 4909年da6d3c809aee148b9433293a062a31517812 | NAMECHEAP上公司 | registrar-servers。com | 可能的信标C2 | FireEye |
| infinitysoftwares。com | 2019-01-28 | 107.152.35.77 | ServerCheap公司 | e70b6be294082188cbe0089dd44dbb86e365f6a2 | NameSilo,有限责任公司 | dnsowl。com | CobaltStrike信标C2 | 赛门铁克 |
| kubecloud。com | 2015-04-20 | 3.87.182.149 | 亚马逊数据服务NoVa | 1123340 c94ab0fd1e213f1743f92d571937c5301 | NameSilo,有限责任公司 | dnsowl。com | 未知的 | Volexity |
| lcomputers。com | 2002-01-27 | 162.223.31.184 | QuickPacket有限责任公司 | 7 f9ec0c7f7a23e565bf067509fbef0cbf94dfba6 | NameSilo,有限责任公司 | dnsowl。com | 未知的 | Volexity |
| mobilnweb。com | 2019-09-28 | 172.97.71.162 | Owned-Networks有限责任公司 | 2 c2ce936dd512b70f6c3de7c0f64f361319e9690 | Namecheap公司,Namecheap公司 | registrar-servers。com | CobaltStrike信标C2 | 帕洛阿尔托 |
| olapdatabase。com | 2019-07-01 | 192.3.31.210 | ColoCrossing | 05年c05e19875c1dc718462cf4afed463dedc3d5fd | NAMESILO,有限责任公司 | dnsowl。com | CobaltStrike信标C2 | 微软 |
| panhardware。com | 2019-05-30 | 204.188.205.176 | SharkTech | 3418年c877b4ff052b6043c39964a0ee7f9d54394d | NameSilo,有限责任公司 | dnsowl。com | 可能的信标C2 | FireEye |
| seobundlekit。com | 2019-07-14 | 3.16.81.254 | 亚马逊科技公司 | e7f2ec0d868d84a331f2805da0d989ad06b825a1 | NAMECHEAP上公司 | registrar-servers。com | 未知的 | Volexity |
| solartrackingsystem。净 | 2009-12-05 | 34.219.234.134 | 亚马逊科技公司 | 91年b9991c10b1db51ecaa1e097b160880f0169e0c | NameSilo,有限责任公司 | dnsowl。com | 未知的 | Volexity |
| swipeservice。com | 2015-09-03 | 162.241.124.32 | 统一层 | 9 aeed2008652c30afa71ff21c619082c5f228454 | Namecheap公司,Namecheap公司 | registrar-servers。com | CobaltStrike信标C2 | 微软 |
| techiefly。com | 2019-09-24 | 93.119.106.69 | Tennet Telecom SRL | ab94a07823d8bb6797af7634ed1466e42ff67bfb | Epik公司,Epik公司 | epik。com | CobaltStrike信标C2 | 微软 |
| thedoccloud。com | 2013-07-07 | 54.215.192.52 | 亚马逊科技公司 | 849296 c5f8a28c3da2abe79b82f99a99b40f62ce | NameSilo,有限责任公司 | dnsowl。com | SUNBURST第二阶段C2 | FireEye |
| virtualdataserver。com | 2019-05-30 | 各种各样的 | 各种各样的 | 4359513 fe78c5c8c6b02715954cfce2e3c3a20f6 | Epik公司 | 各种各样的 | 未知的 | 帕洛阿尔托 |
| virtualwebdata。com | 2014-03-22 | 18.217.225.111 | 亚马逊科技公司 | ab93a66c401be78a4098608d8186a13b27db8e8d | NameSilo,有限责任公司 | dnsowl。com | 未知的 | Volexity |
| webcodez。com | 2005-08-12 | 45.141.152.18 | M247 Europe SRL | 2667年db3592ac3955e409de83f4b88fb2046386eb | NAMECHEAP上公司 | monovm。com | 未知的 | Volexity |
| websitetheme。com | 2006-07-28 | 34.203.203.23 | 亚马逊科技公司 | 66576709 a11544229e83b9b4724fad485df143ad | NameSilo,有限责任公司 | dnsowl。com | SUNBURST第二阶段C2 | FireEye |
| zupertech。com | 2016-08-16 | 51.89.125.18 | OVH SAS | d33ec5d35d7b0c2389aa3d66f0bde763809a54a8 | NameSilo,有限责任公司 | dnsowl。com | 可能的信标C2 | FireEye |
使用以前的DomainTools研究作为指导,我们可以识别出一些“弱”模式,例如当这些项目处于活动状态时,围绕某些注册商、权威名称服务器和托管提供商进行集群—注意,此列表中的大多数项目目前都是空洞的。然而,所识别的模式有些薄弱,并且与许多其他活动(包括合法的和恶意的)重叠,使得旋转和进一步的基础设施发现非常困难,如果不是完全不可能的话。
从网络威胁情报乐动体育下载链接(CTI)的角度来看,旋转和指标分析似乎是一个死胡同。以下项目或多或少适用于本次活动中观察到的所有领域:
- 使用看似较旧的域名(重新注册,可能被威胁行为者“接管”,或可能是基础设施“库存”的一部分,以备以后使用)。
- 依赖云托管提供商(如Amazon Web Services和Microsoft Azure)进行域托管。
- 使用相对常见的(如果通常也是可疑的)注册模式可能“隐藏”在域名注册活动的噪音中。
综上所述,从表面上看,这些观察结果似乎有些毫无意义。
然而,尽管这些项目可能很难或不可能从预测(识别新的基础设施)或历史(识别对手使用的基础设施,但之前未在已识别的事件中与之关联)外部CTI分析角度使用,但网络防御者仍有选择。最重要的是,迄今为止观察到的项目中确定的模式,虽然本身不足以用于外部发现,但可能足以用于内部防御反应和警报目的。
用于主动防御的可操作网络观测
改变我们的观点从外部分析到内部充实大量的可观测数据产生了有趣而强大的检测场景。在SUNBURST和相关入侵的情况下,对手成功地颠覆了关键的信任关系(与SolarWinds Orion或Microsoft云服务),以获得对受害者环境的初始访问权。但是为了真正利用这种颠覆,对手需要某种与已部署能力进行通信和控制的机制。在这个阶段,防御者可以利用这个关键攻击者依赖关系来识别出某些地方出了问题。
处理这个问题的一个简单方法是标记网络通信中引用的新的未知域,以便进一步审查。乍听起来这可能很有用,但考虑到领域的巨大多样性和用户活动(甚至是程序操作)可能产生的噪音,这种方法很快就会引起疲劳和故障。
然而,这仅仅代表了一种观察组织整体网络通信活动中引用的网络基础设施项的基本丰富、最小的上下文方式。如果我们作为防御者和响应者,可以为观察到的项目添加额外的背景和细微差别,并利用这一点来警醒,强大的可能性就会出现。将内部网络理解与自动可观察对象或指标丰富相结合,可以实现快速、上下文相关的网络防御,可以快速识别可疑的通信模式。
例如,不是简单地响应观察到的任何“新”网络项的实例,组织可以将这种响应限制在关键服务、服务器或网络围区(例如,包含各种基础设施设备的子网)。适当的网络分割、资产识别和资产标记以识别关键项目(如SolarWinds Orion服务器或电子邮件服务器或域控制器等各种项目),可以在重要资产启动以前未见的外部连接时进行集中响应。
从网络可观察的角度来看,仅仅确定某些东西是“新的”,就可以用丰富的内容来代替,以确定感兴趣的可观察特征:托管提供商、托管位置、注册商、权威名称服务器或SSL/TLS证书特征。通过自动富集(例如通过)对这些组合进行识别和警报DomainTools虹膜充实或者安全监控插件等DomainTools集成Splunk-可以允许与观测到的网络通信相关的更高保真度,更高置信度的警报。在sunburst相关项目的情况下,即使是与后续CobaltStrike活动相关的每个受害者唯一项目,在与历史可疑活动相关的名称服务器和注册商方面识别符合某些标准的域名,并结合新的观察结果,可以使安全团队根据提供的更详细的信息,为后续调查提供资源。
对于真正改变游戏规则的防御姿态,充分放大防御者在拥有网络和监控网络中出现的活动方面的优势,这些观点可以结合起来。在此场景中,在充实后对可疑外部网络项目的高置信度警报与内部资产识别相融合,以将此通信缩小到网络中的高价值资产或敏感区域。随后的警报代表了一个真正重要的警报,丰富了目标和对手的基础设施方面,以集中响应并推动后续调查。
结论
上面描述的理论警报场景,内部和外部浓缩结合起来产生高可信度、高保真的警报,可能对许多组织来说是遥不可及的,但鉴于对手谍报技术的进步,它代表了我们作为防御者必须推动行动的方向。尽管最初很难创建,但考虑到精确资产或网络enclave检测的网络工程和分割需求,以及为观察到的网络指标建立日志记录和富集管道,一旦就位,组织将发现自己处于更加健壮和强大的安全基础上。
一旦被攻击,即使是最复杂和隐秘的攻击,如与SolarWinds和微软服务相关的信任滥用入侵,也可以被检测到。尽管正如微软2021年1月的分析所强调的那样,后续的调查和分析可能仍然很困难,但至少防御者现在有机会调查和搜索网络中恶意活动的进一步迹象。在没有上述丰富场景的情况下,防御者将自己的网络优势和调查主动权让给了入侵者,并将自己置于这样一个位置:对手的错误或迁移到高opsec活动是必要的,以实现检测和响应。
通过DomainTools等服务,将自身网络的理解和识别与自动指示器丰富结合起来,防御者可以从入侵者手中夺回主动权,并检测甚至切断初始C2信标活动。通过这种方式,防御者不仅可以适应入侵者,还可以使入侵者处于不利地位,从而使网络防御的格局向有利于网络所有者的方向转变。
