13年2020月XNUMX日,诸如 FireEye的 与 Microsoft 报告说,来自一个民族国家威胁参与者的新威胁已经威胁到SolarWinds,并对SolarWinds Orion商业软件更新进行了木马化,以分发称为SUNBURST的后门恶意软件。 由于SolarWinds的流行,这些攻击已影响到多个政府机构和许多财富500强公司。 它也出现在最近 CISA紧急指令20-01.
我们分析了SUNBURST的解码DGA域,发现165个受后门恶意软件影响的唯一域。 其中一些可能是受害者,而其中一些可能与安全检测或分析(例如沙箱)有关。 我们发现受影响的领域跨越不同类型的组织(包括信息技术,公共管理,教育,金融和保险等),并属于25个不同的国家(跨越除南极洲以外的所有大洲)。
1.0 SolarWinds Orion供应链妥协简介
如FireEye报告中所述,SolarWinds可能受到民族国家威胁者的攻击。 但是哪一个仍然是个谜。 一些新闻文章 据推测,这与俄罗斯黑客组织APT29或Cozy Bear有关,但没有透露详细证据。
据 保存突破,安全研究员Vinoth Kumar发现,自2018年以来,属于SolarWinds更新服务器的密码已泄露给Github。目前尚不清楚攻击者是否在攻击中使用了弱密码,但它显示了SolarWinds安全状态的弱点。
在一个 SolarWinds提交的报告 对于SEC而言,SolarWinds通过Office 365发送的电子邮件可能已经遭到破坏,并且“可能提供了对公司办公效率工具中包含的其他数据的访问。”
SolarWinds说多达 18,000 其高端客户可能已经安装了Orion产品的污染版本。
2.0 SUNBURST DGA算法与通讯
在网络级别,与SUNBURST相关的最明显的IOC是C2(命令和控制)通道中使用的域。 它具有强大的模式,并模仿云主机名,例如, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, DGA(域生成算法)域。
FireEye和Microsoft的报告是第一批提供有关SUNBURST后门恶意软件的技术细节的报告。 从那里我们知道,攻击者注入了恶意更新 SolarWinds-Core-v2019.4.5220-Hotfix5.msp。 在更新内部,恶意组件是 SolarWinds.Orion.Core.BusinessLayer.dll.
通过分析此.NET DLL二进制文件,不同的研究组(红滴 与 普雷瓦西奥)透露了有关DGA域编码方式的一些细节。 整体智慧表明,域遵循以下结构:
$ {GUID:16byte} $ {Encoded_AD_domain} .appsync-api。$ {region} .avsvmcloud.com
此 $ {region} 是以下四个值之一:
- 欧盟-西部-1
- 美国西部2
- 我们-东-1
- 我们-东-2
此 $ {GUID} 部分来自主机级别信息的哈希,因此它不容易逆转。
此 $ {Encoded_AD_domain} 最有趣的是,相应的纯文本值通过.NET API调用显示该计算机属于哪个域:
IPGlobalProperties.GetIPGlobalProperties()。DomainName
本质上,API返回Windows域的名称。 通过该操作,我们可以发现机器属于哪个公司。
2.1解码已编码的AD域
我们利用来自 红滴 与 普雷瓦西奥,关于解码算法的还原 $ {Encoded_AD_domain}。 基本上,攻击者使用两种不同的解码功能:一种是自定义的BASE32_decode函数,另一种是在域名仅包含小写字母的情况下更自定义的字母替换密码。 [0_-。]
3.0感染域分析
据 CRN新闻,SolarWinds表示,其客户包括美国《财富》 425强中的500家,美国前十大电信公司,美国前五名会计师事务所,美国军方的所有分支机构,五角大楼,国务院以及数百所大学和学院全世界。
为了分析SUNBURST后门攻击中的受感染域,我们从多个来源收集了DGA域的观察到的主机名。 一个主要来源是 Github 提供 班贝内克咨询,另一个主要来源是 粘贴箱 来自 Zetalytics/Zonecruncher.
通过将已编码的DGA域馈入解码脚本,我们获得了已解码域名的列表,该列表可能是SUNBURST后门攻击的受害者所生成的。 之后,我们尝试通过Google搜索将解码后的域名手动映射到公司/组织名称。 我们能够将165个解码的域名映射到其公司/组织名称。
免责声明 注意:尚未验证所有解码的域都是有效的Windows域,并且确实属于受害者。 它主要基于人类的判断。 我们手动将表格解码后的域名映射到其公司/组织名称可能不正确。
3.1按行业类别划分的受害者分布
我们观察到受害公司/组织跨越了不同类型的行业。 我们根据 NAICS(北美行业分类系统) 来自美国人口普查局。 它们按类别的分布如图1所示。从我们拥有的样本中,IT公司,公共管理(例如政府)和教育服务(例如大学)受到SUNBURST后门攻击的影响最大。
图1:按行业类别划分的受害者分布。
3.2按国家分列的受害者分布
我们观察到受害公司/组织属于25个不同的国家。 它们在各大洲的分布情况如图2所示。这次袭击的影响是全球性的。
图2:按大陆划分的受害者分布。
受害者最多的国家是:
| 国家的名字 | 受害者计数 |
| 美国 | 110 |
| 加拿大 | 13 |
| 以色列 | 5 |
| 丹麦 | 5 |
| 澳大利亚 | 4 |
| 英国 | 4 |
4.0 防御方案,对抗 SUNBURST,采用 Stellar Cyber 的 Open XDR 平台
尽管SUNBURST是一种隐蔽且复杂的威胁,但它确实留下了重要的痕迹以识别自己。
首先,对于企业来说,将有关其网络的工件和跟踪信息存储到安全性中非常重要 数据湖 如 Open XDR Stellar Cyber 的平台。一旦发现攻击,全球企业可以快速将相关指标与历史数据进行比对,以确定是否遭受攻击。对于 SUNBURST 等复杂威胁,C2(命令与控制)域名和 IP 地址通常是强有力的信号。特别是对于 SUNBURST,其 C2 域名具有以下模式: avsvmcloud.com。 企业需要部署良好的NTA(NDR)解决方案,该解决方案能够从DNS和其他重要的L7应用程序协议的流量中记录重要的元数据。 通过DNS日志提取数据也很有用,但是如果攻击者利用Google DNS(8.8.8.8)等公共DNS,则它可能无法捕获信号。此外,借助高级DGA检测和来自Stellar Cyber的其他网络级异常检测,企业可能会更早发现未知的可疑信号。
其次,EDR端点遥测数据与网络层信号一起也非常重要且有用。 Open XDR 借助 Stellar Cyber 的平台,企业可以识别公司内部可疑的横向移动,并通过威胁情报或未知可疑活动检测出类似 SUNBURST 的恶意软件。Stellar Cyber 平台能够存储和关联来自多个数据源的信号,并利用基于机器学习的检测方法来发现未知的可疑活动。
结论5.0
在此博客中,我们分享了一些有关SolarWinds如何被黑客入侵的线索,并分析了DGA域数据,展示了对受影响域的数据研究,并提供了一些防御方面的建议。
