如果你更喜欢听DomainTools研究团队讨论他们的分析,它是在我们最近一期的《绝命毒师》中出现过,包括在这篇文章的底部.
背景
多个实体披露了一个供应链攻击通过SolarWinds猎户座网络监测软件2020年12月13日。DomainTools提供网络基础设施的初步分析及其影响。从那时起,多个实体发布了报告,包括附加的恶意软件分析,命令和控制(C2)识别,以及事件可能范围的细节。
以下是在撰写本文时发表的一些比较相关的项目:
- 黑暗光环利用太阳风妥协来破坏组织, Volexity。
- 警报aa20 - 352,针对政府机构、关键基础设施和私营部门组织的先进持续威胁美国国土安全部、网络安全和基础设施安全局(CISA)。
- 《SunBurst:下一阶段的潜行》, ReversingLabs。
- SUNBURST后门:对太阳风公司供应链恶意软件的深入研究, Prevasio。
根据多方发布的额外信息以及独立的DomainTools分析,本博客在适用的情况下对之前的报道进行了补充和更新。
事件的时间表
虽然SUNBURST活动是在2020年12月才发现的,但对活动细节的分析和对SolarWinds软件的进一步分析表明,该活动可能在一年多前就开始了,至少在筹备阶段。
虽然之前的DomainTools研究显示,基础设施管理和登台可能在2019年12月开始,ReversingLabs的后续分析表示操作开始的时间更早。基于对SolarWinds二进制文件的分析,ReversingLabs的研究人员早在2019年10月就发现了安装包的修改。
除了SolarWinds的补救事件外,这似乎是辩护者的学术观点,但这一细节确实让我们得出以下结论:
- SolarWinds入侵是一个计划已久的事件,发生在不同的阶段:供应链破坏、软件修改测试、基础设施开发,然后是最终部署。
- 鉴于这一行动似乎在2019年10月之前开始,与这一威胁行为者相关的可能入侵场景的范围急剧扩大。
第二点很重要Volexity报道-多次入侵与SUNBURST活动的负责实体有关。具体来说,在几起事件中,被Volexity称为“黑暗光环”的对手在受害者环境中“数年未被发现”。基于这一令人震惊的观察,DomainTools以高置信度得出结论,太阳风供应链活动确定的后侵入活动可能在2020年2月之前就已活跃,2019年10月之前的置信度为中等,这使得对潜在受害者的调查时间线远远长于公开报告中通常引用的2020年3月至10月(或之后)的时间线。
Volexity关于替代入侵方法的结论得到了最近来自CISA的警报的支持。在aa20 - 352, CISA指出,他们拥有“除了太阳风猎户座平台之外的其他初始访问载体的证据”。在与多方的讨论中,这些病媒超出了Volexity所详述的范围,可能与最近关于a的报道有关微软可能被入侵,下文将进一步讨论。因此,考虑到对手可获得的多种潜在入侵机制,以及根据可用的时间线和战役持续时间估计,他们可获得的重大停留时间,组织面临着一个极其困难的防御问题。
额外的基础设施的观察
当DomainTools Iris被动DNS (pDNS)信息识别和确认第二阶段C2节点作为Canonical Name (CNAME)响应向主C2域的DNS请求时,avsvmcloud[.]网站上,与该运动相关的其他基础设施继续浮出水面。作为提醒,以下表示与SUNBURST恶意太阳风猎户座安装程序活动相关的第一和第二阶段信标域:
| 域 | 知识产权 | 第一次见过 | 最后一次看到 |
|---|---|---|---|
| avsvmcloud。com | (各种) | 2/27/2020 | 10/30/2020 |
| deftsecurity。com | 13.59.205.66 | 2/14/2020 | 12/13/2020 |
| freescanonline。com | 54.193.127.66 | 2/11/2020 | 12/13/2020 |
| thedoccloud。com | 54.215.192.52 | 2/9/2020 | 12/10/2020 |
| websitetheme。com | 34.203.203.23 | 2/4/2020 | 6/25/2020 |
| highdatabase。com | 139.99.115.204 | 12/28/2019 | 12/6/2020 |
虽然这些都是众所周知的和有记录的,但后续基础设施与Cobalt Strike Beacon和相关的开发后有效载荷有关。基于对FireEye、Volexity和Symantec-Broadcom在这一阶段的事件中,使用了不同的基础设施集——包括每个受害者可能独特的域。在撰写本文时,DomainTools了解到以下与此活动相关的基础设施:
| 域 | 创建日期 | 知识产权 | 托管提供商 | SSL / TLS证书 | 注册商 |
|---|---|---|---|---|---|
| databasegalore。com | 2019-12-14 | 5.252.177.21 | MivoCloud老 | d400021536d712cbe55ceab7680e9868eb70de4a | NAMECHEAP上公司 |
| digitalcollege。org | 2019-03-24 | 13.57.184.217 | 亚马逊技术公司。 | fdb879a2ce7e2cda26bec8b37d2b9ec235fade44 | 最后手段基金会的注册主任 |
| ervsystem。com | 2018-02-04 | 198.12.75.112 | ColoCrossing | 0548年eedb3d1f45f1f9549e09d00683f3a1292ec5 | Epik公司 |
| globalnetworkissues。com | 2020-12-16 | 18.220.219.143 | 亚马逊技术公司。 | ff883db5cb023ea6b227bee079e440a1a0c50f2b | 关键系统GmbH是一家 |
| incomeupdate。com | 2016-10-02 | 5.252.177.25 | MivoCloud SRL | 4909年da6d3c809aee148b9433293a062a31517812 | NAMECHEAP上公司 |
| infinitysoftwares。com | 2019-01-28 | 107.152.35.77 | ServerCheap公司 | e70b6be294082188cbe0089dd44dbb86e365f6a2 | NameSilo,有限责任公司 |
| kubecloud。com | 2015-04-20 | 3.87.182.149 | 亚马逊数据服务NoVa | 1123340 c94ab0fd1e213f1743f92d571937c5301 | NameSilo,有限责任公司 |
| lcomputers。com | 2002-01-27 | 162.223.31.184 | QuickPacket噢 | 7 f9ec0c7f7a23e565bf067509fbef0cbf94dfba6 | NameSilo,有限责任公司 |
| panhardware。com | 2019-05-30 | 204.188.205.176 | SharkTech | 3418年c877b4ff052b6043c39964a0ee7f9d54394d | NameSilo,有限责任公司 |
| seobundlekit。com | 2019-07-14 | 3.16.81.254 | 亚马逊技术公司 | e7f2ec0d868d84a331f2805da0d989ad06b825a1 | NAMECHEAP上公司 |
| solartrackingsystem。净 | 2009-12-05 | 34.219.234.13 | 亚马逊技术公司。 | 91年b9991c10b1db51ecaa1e097b160880f0169e0c | NameSilo,有限责任公司 |
| virtualwebdata。com | 2014-03-22 | 18.217.225.111 | 亚马逊技术公司。 | ab93a66c401be78a4098608d8186a13b27db8e8d | NameSilo,有限责任公司 |
| webcodez。com | 2005-08-12 | 45.141.152.18 | M247欧洲SRL | 2667年db3592ac3955e409de83f4b88fb2046386eb | NAMECHEAP上公司 |
| zupertech。com | 2016-08-16 | 51.89.125.18 | OVH SAS | d33ec5d35d7b0c2389aa3d66f0bde763809a54a8 | NameSilo,有限责任公司 |
上述项目类似于SolarWinds恶意更新软件中使用的主和次C2域,以及其他共性:
- 使用“经验丰富”的域名,初始注册日期通常在活动之前很久。在大多数情况下,对手似乎重新注册了过期的感兴趣的域名,以便在活动中使用。
- 通过云服务提供商托管,包括亚马逊AWS等主要平台。
- 一致使用与技术相关的命名“主题”或约定,尽管不是排他的。
- sectigo颁发的SSL/TLS证书用于加密通信,大多是在2020年颁发的,远在域创建日期之后。
鉴于这些第三阶段C2域可能是个别受害者所独有的,因此将其用于直接防御目的(例如,纳入屏蔽或警报列表)受到限制。但是,关注基础设施的观察结果和共性——时代、主题、托管模式以及注册和SSL/TLS证书时间戳之间的显著差异——可能有助于识别结构相似的基础设施。
例如,一个组织可以使用对资源(如DomainTools)的自动查找来捕获关于网络流量中新看到的、不熟悉的域的信息。然后,这些信息可以被解析,以比较注册和证书时间,或注册商和托管提供商的组合,或用于识别与过去恶意行为相关的基础设施的自治系统号(ASN)。
受害者鉴定和辩护笔记
SolarWinds供应链攻击的另一个最近流行的方面是通过将用于在DNS查找中编码子域的算法逆向到主C2域avsvmcloud[.]com来识别受害者。多个实体已经生成了这两个原始请求的列表(包括DomainTools的研究人员)在这里)和根据算法解码的列表Prevasio发表的.
分析人士必须理解SUNBURST感染链的本质,以便适当地掌握任何所谓的“受害者名单”的性质和意义。如下图所示,虽然到主C2域的信标是发生后续利用所必需的,但它不是足够的给出检查恶意软件的网络范围和安全产品的进一步功能。
受害者可以下载恶意包并执行它,但未能通过后续执行的几个检查之一,导致无效有效负载。此外,即使受害者收到后续C2行为的CNAME,该实体是否将收到任何后续有效负载(如Cobalt Strike Beacon或其他后利用工具)仍取决于对手的判断。
此外,必须明确指出“受害者名单”的另一个方面。流传的“受害者”列表是基于与主要域avsvmcloud[.]com相关的pDNS收集。尽管包括DomainTools在内的许多实体出于多种原因努力收集尽可能完整的DNS查询图片,但没有任何提供者拥有所有执行的DNS查询的完整视图。因此,这份清单几乎肯定是不完整的。这一观察结果的意义在于,一个组织不在已确认的受害者名单上,并不意味着该实体没有向竞选相关的基础设施进行任何网络流量——相反,这些流量可能只是被错过或没有记录。
防御者和IT人员不应该依赖第三方数据,而是应该利用内部数据源和持续的DNS监控。这将大大提高组织活动的权威性和可靠性。虽然第三方数据集对研究目的非常有用,但通过查看自己的网络活动和流量,最好增强自己的网络防御。
关于归因的说明
在美国财政部和其他机构遭到黑客入侵的初步披露后不久,媒体实体将事件与APT29联系起来APT29,也被称为Cozy Bear (CrowdStrike),族长(各种),或钇(微软),此前一直如此与俄罗斯对外情报局(SVR),是国家安全委员会(KGB)第一总局的继承者。然而,这种联系既不是明确的,也不是无可争议的研究人员和组织也将APT29与俄罗斯联邦安全局(FSB)联系起来。值得注意的是,上一次美国(和其他国家)政府对APT29的公开报告中,涉及2020年夏季窃取COVID-19信息在美国,只提到APT29与“俄罗斯情报机构”有关,而不是具体实体。
在太阳风和相关活动的情况下,美国政府消息人士在接受《华盛顿邮报》采访时似乎将该活动与APT29联系起来,作为参考SVR的另一种方式。这个观察结果很有趣,因为现在有三个实体报告了有问题的活动,但没有将识别的行为与APT29联系起来:
- FireEye的报告将入侵与一个名为“UNC2452”的新实体联系起来乐动体育官网下载记录活动聚类方法.
- 微软的客户的博客而且技术报告尽管之前有关于YTTRIUM的报道,但并未提及应对事件负责的具体对手。
- Volexity,之前发表的材料直接将事件归咎于APT29,也将已识别的活动链接到新实体,与FireEye类似,只不过这次被命名为“黑暗光环”。
因此,整体情况是令人困惑的,因为政府来源使用“APT29”入侵,而直接响应事件的商业实体将事件与不同的实体关联起来。虽然DomainTools不参与直接归因,但对公开信息的观察和分析表明组织之间可能存在误解。
根据对媒体报道的仔细阅读,将活动与“APT29”联系起来的消息来源似乎在用这个词来概括对外情报局的活动。同时,响应事件的实体和目前拥有最多数据的实体可以看到当前活动和遗留APT29行为之间的明显差异。如果使用行为归因方法,命名约定被分配到活动或行为的集合与不同的实体(如“SVR”)不同,为不同的行为使用单独的命名约定是有意义的
总体而言,目前的分析表明,几乎可以肯定的是,实体在该事件中使用了不同的“APT29”含义,某些来源将“APT29”等同于“SVR”,而威胁情报和事件响应公司则认为可能与SVR相关的网络活动分布在不同的群体中。有一点值得警惕的是,鉴于安全公司的跟踪“不是APT29”,关于APT29行为和活动的标准剧本和假设并不一定适用于此次活动。乐动体育官网下载
防御、缓解和恢复
对于网络防御者来说,识别攻击仍然是一个困难的问题,既要确定是否发生了入侵,又要确定入侵的范围。事情变得更糟了,因为现在有迹象表明,除了太阳风,微软可能也被入侵了作为该活动的一部分(索赔是有争议的在撰写本文时)。供应链妥协的潜在范围和风险仍然令人担忧和重大,但并非不可克服。
对于防御者和IT操作人员来说,认识到仅仅在被监视的环境中部署一种能力(例如恶意的SolarWinds更新)是不足以实现妥协的。相反,对手必须能够对受感染的设备采取某种程度的控制,并能够在网络内横向移动到用于收集或其他目标的其他有价值的来源。所有这些活动,即使最初的入侵跨越了大量的控制点和监测点,也会留下检测和响应的痕迹。
监视新的、惟一的或异常网络连接的组织可以识别C2通信模式。确定特定主机或主机类型的适当资产分类(例如,“服务器”而不是“终端用户客户端”)可以进一步区分通信,以确定关注的项目。类似的分类还可以用于识别不寻常的身份验证活动,即服务器(如SolarWinds Orion设备)向其他客户端发起登录,而不是相反。
总体而言,强调可见性、对自己网络的理解,以及能够将事件关联在一起以识别可疑的活动模式,可以成功地识别甚至是最复杂的供应链攻击。尽管攻击者仍可能在网络中获得最初的立足点,但能够大幅减少对手停留时间,对于许多受此次太阳风事件影响的组织来说,这是一个显著的改进。
结论
太阳风的入侵和由此产生的余震将继续在安全社区中回响。当其他潜在的供应链入侵被加入进来时,网络防御者必须在监控和操作他们的网络时保持高度的警惕,例如据称发生在微软的入侵。虽然情况可能看起来很糟糕,但通过诸如DomainTools Iris之类的工具,结合增强的网络监控、自身网络理解和丰富的外部观察,可以最小化对手逃避检测的能力,或最小化检测时间,以缩小事件的范围。
DomainTools将继续分析该事件及其影响,并提供进一步的观察和适当的建议。
阅读我们之前关于太阳风供应链事件的博客。