本周《绝命毒师》即将播出。今天我们将讨论:进一步分析由一些人进行的太阳风供应链事件和两个真相和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
最近的事件让组织在太阳风中扭曲
- 这个纱线球还远远没有完全解开。以下是我们最初是如何知道这一点的:
- 据我们所知,这次入侵的消息是在12月13日传出的。我这么说是因为我们现在知道了一开始不知道的事情,也就是我们之前了解到的火眼漏洞,实际上也与SUNBURST有关。
- 关于这次入侵的第一个结论是,这是一件大事。在太阳风事件的一开始(13日),我们知道包括商务部和财政部在内的几个政府机构已经被攻破;但仅仅几个小时后,人们就知道更多的机构参与其中,包括五角大楼、美国军方的所有分支机构、国务院、国家安全局,还有更多的机构,我在这里没有时间列出。事实上,据我们所知,似乎只有几个机构“没有”被攻破。这还只是美国政府。还有很多很多的实体参与其中:
- 财富500强中至少425家
- 所有排名前十的电信公司
- 所有五大会计师事务所
- 洛斯阿拉莫斯国家实验室,以及其他实验室
- 数百所大学和学院
- 数十个地方和州政府机构
- 事实上,如果这里有任何一线希望的话,相信我,也不会有太多,那就是有太多的数据可以提供给对手他们基本上可以被淹没在其中。但显而易见的是,任何有能力进行这种入侵的实体也有能力找出真正敏感的信息在哪里。
- 我认为这一事件的演变主要有两个方面。首先是它的范围。还记得《星球大战4:新希望》的开头吗?我们看到叛军的船被歼星舰追击。让人印象深刻的是破坏者是如何不断成长的,不断成长,不断成长,你会有这样的小时刻在想:“哦,它有那么大……不,它有那么大……天哪,它有那么大……这东西永远不会结束吗?”这是第一种发展方式。第二,正如我们所预料的那样,我们得到了入侵是如何开始的更集中的画面——即太阳风猎户座(SolarWinds Orion)发送的修改包的细节。
- FirEye是大约10天前第一个对这一活动发出警告的实体。我们可以假设,这是基于他们自己的漏洞和他们的客户的远程探测发现的,随后对信标软件包进行了代码分析。我们不知道FirEye的分析在宣布之前持续了多长时间——也就是说,他们的分析持续了多长时间?大概,他们想确保他们发布的任何东西都是无懈可击的。我更感兴趣的是国安局方面的事情。国家安全局是负责保护美国政府网络资产的主要机构。美国国家安全局没有事先公布这一信息,这是他们不知情的有力证据,这意味着政府机构完全受到了影响。
- 主指挥和控制域于2020年2月首次启用。然而,该域的属性在2019年12月进行了修改。该域名本身的历史要久远得多,很可能最初是由与攻击者无关的一方注册的。如果我们看一下时间轴,我们可以推断,这个活动的计划可能不晚于2019年第一季度。因此,规划发生在两个平行的垂直方面:修改代码库,选择和准备基础设施。当然,这将作为一个操作运行,包含多个活动部件。
- 反转实验室将第一个被篡改的软件实例与一个早在2019年10月发布的版本联系起来。
- 该版本没有包含完整的后门,但是它实例化了一些将在武器化版本中使用的类,武器化版本的发布日期是2020年3月。目前尚不清楚这次释放是否是“试运行”,可以说是试水。
- 攻击者非常聪明地编写了模仿Solarwinds开发人员的风格和语法的代码,这些开发人员在代码库中工作,努力不被发现。此外,大部分代码本身运行在内存中,并试图删除相关日志中自己的痕迹。
- 所有这些都表明了一种缓慢而有条理的方法和提升,并强烈关注OpSec。例如,我们期望由一群集中管理的专业人员执行的OpSec类型。
- Volexity进行了一些额外的分析,我想强调一些结论,包括他们确定了一个组织,该组织利用此次供应链攻击为“黑暗光环”。这个组织被FireEye称为UNC2452 (UNC是Uncategorized的缩写),他们已经活跃多年,包括三起Volexity发挥作用的重大事件。为了稍微解释一下这一点,他们在2019年底和2020年初为一个智库做了一些响应工作,用他们的话说,该智库感染了“多种工具、后门和恶意软件植入”。Volexity最初能够将他们踢出网络,但正如我们在这里看到的,这些行为者真正体现了高级持续威胁的想法,他们能够通过利用微软Exchange控制面板中的一个漏洞回到智库的网络中。他们的主要目标之一似乎是获取该智库高级人员的电子邮件,为此,他们采取了一些措施,比如使用新技术绕过Duo的双因素认证,进入个人的OWA (Outlook Web Access)账户。
- 我要暂停一下,对2021年做个预测,尽管这不是这期播客的主题。关于这一活动的书籍将会被写出来(我甚至不知道该怎么称呼它,因为“它”在不断演变和发展),而不仅仅是安迪·格林伯格(Andy Greenberg)的“沙虫”类书籍。这是因为《暗黑光环》的操作是高级演员的典型例子。
- 他们在被攻破的智库住了很多年。他们只在必要时使用先进的漏洞和工具,大多数时候只是像任何其他授权用户一样在受害网络上悄悄地操作。
- 对Duo的2FA的滥用是有趣的,它为蓝色团队提供了一个教训,因为黑暗光环实际上没有利用Duo的一个弱点。相反,他们能够通过在他们的会话中包含一个通过Duo的集成密钥派生的cookie来完全绕过Duo。如果他们没有得到那个钥匙,他们就无法以这种方式绕过2FA。Volexity强调的一个要点是在入侵后更改所有的密码和密钥的重要性,而不仅仅是更改为攻击者可以猜到的密码和密钥,因为您必须假设,即使看起来它们已经从您的网络中根除,但它们可能没有。所以如果他们知道你的密码模式而你的下一个密码只是这个模式的一个序列,猜猜看,他们回到了什么。
- 这似乎,我想强调的是,似乎,因为我们几乎每小时都在了解更多,微软没有被攻破。微软并没有否认黑客入侵的事实,但他们表示,入侵只涉及一些与Office 365等服务客户隔离的服务器。如果客户服务确实被曝光,那么后果将是令人震惊的——想想Office 365中存在的数百万企业、机构和个人的敏感数据。但我想再次强调的是,目前我们没有任何证据表明O365已经被泄露。路透社撤回了他们最初发表的一篇简短的报道,该报道称黑客入侵可能会影响微软的客户。
- C2节点使用主域,该域于2018年首次注册。然而,关于域名所有权的细节似乎在2019年底前后被修改了。“2019年底”对主域的修改跟上了逆转实验室发现的初始代码的开发日期。从整体上看,它支持了最初的时间轴评估——我们看到了代码修改,然后几个月后我们看到了对现有域的修改,这些域将用于命令和控制。
- 研究人员还发现了大约10个其他二级C2域——它们使用一般无害的命名约定来显示从受感染的SolarWinds服务器返回的正常流量。
- 关于主C2域有一个有趣的说明:微软在控制该域方面的速度和广度给我留下了深刻的印象。在该域名上挖洞将有助于防御者,因为微软可以在检测到“太阳风”试图“打电话回家”的感染实例时向公司发出警告。这有效地创造了一个杀死开关,阉割了被感染的太阳风包呼叫母舰的能力。
- 这些修改告诉我们,攻击者的域是经过仔细选择的,目的是使用已经建立的域,以避免引起怀疑。许多威胁情报平台将“新”因素纳入安全评级。旧的、无趣的域名不太可能引起注意。
- 域托管主要是通过云服务提供商进行的,这使得攻击者可以轻松地设置、拆除或移动基础设施。
- SolarWinds供应链攻击的另一个方面是,在Prevasio公开发布算法后,能够解码受害者列表。这是法庭上比较有趣的花边之一。大多数听众都熟悉这样一个概念:DNS可能被滥用于各种恶意活动,而不仅仅是解析对手使用的域。在本例中,用于SUNBURST的C2的一部分涉及到DNS流量,其中查询字符串的子域部分是一个经过编码的blob,表示查询所来自的受害实体的名称。它看起来像电线上的胡言乱语,但它实际上是一个相当基本的替换密码——你可以用一个纸上的解码环来解码它——它会告诉威胁行为者这个查询来自谁,显然是为了帮助他们优先考虑目标。寻找这些看似随机的子域字符串是一个组织可以使用DNS日志记录来帮助确定他们是否已经被这种恶意软件破坏的方法之一。
- 关于SUNBURST感染链,一般来说:恶意更新通过太阳风下载,执行检查,以确保主机的IP地址不是私有(RFC 1918)地址,或一个狭窄的公共范围。一旦检查通过,将向主C2服务器avsvmcloud[.]com发出出站呼叫。然后,使用由受感染主机的主机名派生的DGA返回CNAME响应。从那里,攻击者可以决定是否进一步攻击目标,因此有可能通过一个辅助C2服务器进行命令和控制,或者攻击者可以简单地选择不进一步攻击。
- 正如蒂姆所指出的,这次攻击撒下了一张非常广泛的网。多个行业和政府部门受到影响。攻击者显然知道他们最感兴趣的目标集的类型。所以这种特殊的攻击类型,以及感染链的性质,让他们可以保留他们想要的鱼,而丢弃他们不想要的鱼。
- 最初,一些媒体急于将攻击归咎于APT29、CozyBear或俄罗斯外国情报局(SVR)。许多政府实体也将此次攻击归咎于“APT29”,可能是“俄罗斯政府支持实体”的统称。值得注意的是,Fireye、Volexity和微软都将攻击归咎于未知实体,没有做出如此强烈的结论。然而,普遍的共识似乎是它是俄罗斯。当然,联邦调查局正在非常努力地工作以确定真正的归因。这包括TTPs的技术调查,以及SolarWinds人员的调查,特别是那些处于修改代码库位置的人员。这都是猜测,但我们不应该排除内部妥协的可能性。
- 作为一家大公司的漏洞管理人员和渗透测试人员,我可能会说:“打补丁打补丁!”乐动体育官网下载然而,要说没有更新太阳风的组织会避免在他们的环境中引入后门,这几乎是荒谬的!也就是说,“纵深防御”的方法几乎总是最好的策略。这意味着在防火墙进行适当的控制,包括SSL剥离。测试、QA、生产、CDE和管理环境之间的内部分割。端点保护,包括FIM和DLP保护。一支强大的威胁搜寻队伍。看在上帝的份上,如果不需要脚本语言,就在主机上禁用它们。但最重要的是,选择一个适当的安全框架,如CIS 20或ISO 27001/27002,并努力使组织通过这些控制达到成熟的程度。诸如此类的安全框架采用全面的方法,并帮助实践者建立深入的防御。
- 阻挡和抢断的要领总是适用的。在回到你的问题之前,我将在这里稍微偏离一下你的问题,以解决Volexity强调的一些IR实践。猜猜他们的第一个建议是什么——寻找SUNBURST使用的恶意域名和ip的流量。这是如此广泛的业务,第一要务是弄清楚你是否受到了影响,特别是如果你是SolarWinds的商店。对此次入侵的取证表明,DNS对于弄清已知或可疑的入侵发生了什么有多么重要。
- 至于防范未来像这样的入侵或攻击,我百分百同意马特刚才说的一切。我的意思是,从最小权限和零信任到良好的密码和密钥管理,再到精心开发的网络流量监控,信息安全最佳实践的每一个主要领域都涉及到这里。上周,我与SANS一起参加了一个关于威胁搜索的讨论小组,其中一个有争议的问题是“太阳风的漏洞是否可以通过威胁搜索来避免?”关于这一点,大家意见不一;有些小组成员不同意,但我同意了。我的理由并不是要把任何受害者推到车下,因为我回答的精神是理论多于实际,但它变成了实际。我的意思是,基于我们对SUNBURST的了解,我们将开发新的狩猎方法,这些方法可能让我们在未来更早地检测到类似的入侵。例如,在本例中,如果您有一些针对奇怪的DNS查询发出警报的正则表达式(这是一个非常容易实现的目标),那么您可能已经标记了一些早期阶段C2,在此actor正在识别受害者。如果我听起来像一个坏掉的记录,就称它为一个坏掉的a记录,因为DNS为攻击者和防御者提供了如此多的途径。
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
最近的事件让组织在太阳风中扭曲
(Tim):10/10的连帽衫
(Matt):10/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
