背景
2020年12月13日,多个媒体报告首先发现了几个美国政府机构的网络入侵。随后的报道表明,这些入侵,以及之前在信息安全巨头火眼发现的漏洞,与一个妥协在IT管理和远程监控软件提供商SolarWinds。
FireEye和微软跟进媒体报道,对以太阳风为重点的复杂供应链攻击进行了深入的技术报道。Orion IT监控软件。攻击的重点是包含在合法Orion安装包中的恶意动态链接库(DLL),分别被FireEye和Microsoft称为SUNBURST或Solorigate。强烈建议网络防御者、威胁研究人员和其他相关方查看FireEye和微软的相关报告,以详细了解这些活动。
然而,作为太阳风入侵的一部分,一些有趣的基于网络的观察结果出现了。这包括与SUNBURST的指挥和控制(C2)活动相关的行为以及用于促进活动的网络基础设施的特征。
观察命令和控制行为
SUNBURST使用复杂的多级机制来识别控制C2服务器,并执行后续通信。下面的图表总结了这一点。
C2行为首先依赖于解析第一阶段C2域的子域:
Avsvmcloud。com
主域很有趣,因为它最早出现在2020年春季之前,即2018年7月,当时SUNBURST被认为已经开始(2020年春季)。通过DomainTools Iris仔细查看Whois的历史,可以看到2019年底域名发生了明显变化:
最初,该域名是通过Namecheap以PrivacyGuardian匿名方式注册的,但随后在2019年12月转移到完全不同的服务(GoDaddy和Domains by Proxy)。这种注册信息的变化反映在托管和相关特征上:
上面的两张图片捕捉了托管和权威域名服务器的变化:
- 该域名于2019年12月20日转移到GoDaddy停车基础设施,与注册变更大致相同。
- 该域名在2020年2月27日之前一直保留在GoDaddy的停车基础设施上,届时将转移到微软云托管(52.171.135)。]15,然后13.65.251[.]83)
- 同时托管转移到微软,域名将权威域名服务器更改为Avsvmcloud[.]com的自托管。
- 主域在2020年10月30日停止解析IP地址。
虽然主域名在2020年10月30日停止解析,但子域名在2020年12月初仍保持活跃,如DomainTools被动DNS (pDNS)数据所示:
综上所述,我们有一些关于这次活动的初步观察:
- 主要的C2基础设施是在2019年12月获得并最初配置的,使用的是一个现有但可能过期的域名,表面上类似于云托管服务的域名。
- 主机、名称服务器和运营使用所需的其他项目于2020年2月27日建立。
- 如果Avsvmcloud[。]com是唯一的主C2域名,SUNBURST活动不早于2020年2月27日开始运行,并在2020年10月30日发生了重大变化。
然而,行动并未就此结束。提供Avsvmcloud的子域[。]com解析到的值不在内部存储的IP地址范围块列表中,C2行为查找返回的值规范的名称CNAME记录。此值用于后续的C2活动,通过HTTP发送,但使用猎户座改进计划格式以“融入”网络通信。链接到第二阶段C2的观察域包括以下项目:
| 域 | 创建日期 | IP地址 | ISP | 注册商 |
|---|---|---|---|---|
| databasegalore。com | 2019-12-14 | 5.252.177.21 | MivoCloud SRL | NAMECHEAP上公司 |
| deftsecurity。com | 2019-02-11 | 13.59.205.66 | 亚马逊科技公司 | NAMESILO,有限责任公司 |
| freescanonline。com | 2014-08-14 | 54.193.127.66 | Amazon.com Inc .。 | NAMECHEAP上公司 |
| highdatabase。com | 2019-03-07 | 139.99.115.204 | OVH新加坡私人有限公司 | NAMESILO,有限责任公司 |
| incomeupdate。com | 2016-10-02 | 5.252.177.25 | MivoCloud SRL | NameCheap上有限公司 |
| panhardware。com | 2019-05-30 | 204.188.205.176 | SharkTech | NameSilo,有限责任公司 |
| thedoccloud。com | 2013-07-07 | 54.215.192.52 | Amazon.com Inc .。 | NameSilo,有限责任公司 |
| virtualwebdata。com | 2014-03-22 | 18.217.225.111 | 亚马逊科技公司 | NameSilo,有限责任公司 |
| websitetheme。com | 2006-07-28 | 18.253.52.187 | 亚马逊科技公司 | NAMESILO,有限责任公司 |
| zupertech。com | 2016-08-16 | 51.89.125.18 | OVH SAS | NameSilo,有限责任公司 |
了解网络基础设施
基于11个域的数据集(一个初始C2项用于解析第二个C2域以供攻击者使用),我们可以得出关于负责任的攻击者及其基础设施倾向的几个教训。
首先也是最重要的是,攻击者绝大多数依赖于基于云的提供商(如Amazon和Microsoft)来进行托管,而较小或信誉较差的提供商也用于第二阶段的C2域。虽然没有很好地反映在第二阶段域名的模式中,但Avsvmcloud上子域名解析的pDNS信息[.]乐动体育网址com在返回的响应中显示了对主要云提供商的压倒性使用,这些响应捕获在DomainTools Iris输出中在这里。这种托管趋势使得基础设施难以转向,但也给防御者带来了问题,因为这样的基础设施可以由其他非恶意实体共享,或者快速重新分配给其他方,这会使取证分析变得混乱。
第二,将主题命名为域特征的一个组成部分显示对技术或IT服务名称的倾向。虽然有点难以跟踪和过滤,但在新的、以前未观察到的网络流量中识别命名主题可以作为标记可疑基础设施的一种方法,以便进行后续调查。寻找新解析的“技术相邻”域可以作为可能的恶意活动的绊线。
第三,有问题的域似乎代表了可能的攻击者创建的组合(例如Databasegalore[)。[.]com,它与Avsvmcloud[.]]com),现有域名的机会性重新注册,以及合法基础设施的可能妥协。在第二种情况下,Deftsecurity[。]com在2019年2月更换了注册商和隐私提供商,尽管在此之前几年就已经存在,表明对手可能会重新注册。更令人担忧的是像Freescanonline这样的案例。直到2019年8月,该网站似乎还是一个合法的搜索引擎优化(SEO)分析网站:
值得注意的是,该域名解析为108.179.242[。直到2020年2月中旬,当它转移到亚马逊托管与本次活动中观察到的其他网络项目。因此,这个项目有点模棱两可,要么代表对手接管(考虑到最近它似乎被用于合法目的),要么代表到期时机会主义的重新注册。
总的来说,攻击者利用具有一定程度“历史”的域名来逃避由于“新颖性”而标记网络基础设施的过滤器或算法。通过在2019年12月至2020年3月期间(基于DomainTools数据的分析)控制或修改主机以用于SUNBURST活动之前有几个月的创建时间,攻击者可以在网络基础设施中建立错误的信任感,用于潜在地逃避一些安全解决方案和分析。乐动体育网址
给辩护人的教训
总的来说,SUNBURST战役是一个高度复杂、操作精明、技术耐心的战役。详情如下FireEye和微软,这延伸到受害者网络中的后续横向移动操作,这些操作主要依赖于在受害者环境中捕获凭证并模仿用户活动以逃避检测。因此,作为网络防御者的我们面临着异常困难的攻击,难以检测、击败并从中恢复——或者我们是这样吗?
正如本文所述,作为SUNBURST操作的一部分,有许多网络可观察性对于攻击者成功实现C2目的至关重要。网络安全监控(NSM)和DNS分析可以识别新的、不寻常的或完全可疑的网络通信模式,尽管这本身也有困难。
如果将跟踪外部通信与内部系统感知相结合,可以快速处理哪些主机正在与外部实体进行通信,则监视功能将更加强大。以SolarWinds猎户座软件为例,识别来自该服务或其托管设备的流量到新的、不寻常的域——即使使用与猎户座遥测类似的通信模式——也可以快速识别异常连接,值得进一步检查。
虽然仍然需要做很多工作来正确处理相关事件,并发现像恶意的、签名的更新包这样复杂和难以识别的东西,但至少可以很容易地实现对某些东西“错误”的初步检测。接下来的步骤需要进一步的分析、检查系统行为和配置,以及随后的调查,但至少防御者现在是警觉的,并且意识到在被监视的环境中有些地方出了问题。
结论
SUNBURST活动代表了一个独特的令人不安的入侵事件,对多个行业和网络运营商都有影响。太阳风在大型网络中的无处不在,加上潜在的长保压时间这意味着这次攻击的受害者不仅需要恢复他们的SolarWinds实例,还可能需要执行广泛的密码重置、设备恢复和类似的恢复活动,以完全驱逐入侵者。
虽然在目前的情况下,这是令人担忧和不幸的,但未来的供应链攻击——因为这不会是最后一次影响网络防御者和运营商的此类事件——可以通过积极的NSM和通信可见性来应对和检测。只要最复杂的后门或植入需要与控制实体进行通信或指令,防御者就有机会检测和破坏操作。通过对网络流量的持续监控和对主机通信情况的了解,防御者可以利用攻击者的弱点和依赖关系来克服这些令人生畏的挑战。
阅读我们关于太阳风供应链事件系列的下一篇博客。