從惡龍到毒龍:SolarWinds上演完美風暴
責編:gltian |2020-12-21 13:34:28
大多數互聯網和科技公司的遠大理想或者美好愿景之一,就是經過一番血腥的征戰廝殺,成為一條自己曾經“討厭”的惡龍。
但是比成為惡龍更加可怕的是,惡龍變成了毒龍。
完美風暴
在兩個月前的一次分析師電話會議中,SolarWinds首席執行官凱文·湯普森(KevinThompson)沾沾自喜地回顧了自己掌舵11年以來,公司業績如何蒸蒸日上,橫掃全球。
湯普森告訴分析師:“這個世界上沒有SolarWinds不能監控和管理的數據庫或者IT系統。我們認為,就覆蓋的廣度而言,市場上沒有任何競爭對手能夠對我們構成威脅,我們管理每個人的網絡設備。”
毫無疑問,在IT監控和管理工具市場,SolarWinds這家盤踞在德克薩斯州奧斯丁的軟件企業已經成長為一條“地表最強惡龍”。
但是,本周FireEye和微軟曝光的APT攻擊,把SolarWinds一夜之間從“惡龍”變成了“毒龍”。
本周一,SolarWinds證實,Orion——其旗艦網絡管理軟件——在不知不覺中充當了一個龐大的國際網絡間諜活動的渠道。黑客將惡意代碼后門(SUNBURST,日爆攻擊)插入Orion軟件更新,并推送給包括美國關鍵基礎設施、軍隊和政府機構在內的全球1.8萬個客戶。
正所謂能力越大毒性越大,被黑客植入木馬的SolarWinds,讓美國財政部、商務部、五角大樓、白宮、NSA和九成以上的財富500強企業都陷入了極度恐慌,CISA在官方通報中使用了罕見的字眼:這種風險(黑客通過SolarWinds木馬化軟件監控美國政府和全球大型企業)已經超出了容忍極限。
《華盛頓郵報》和《紐約時報》都點名俄羅斯黑客組織APT29是幕后黑手,路透社也援引三位知情人士的話指認俄羅斯是頭號嫌疑人,不過其他熟悉調查的人表示,現在下結論還太早。
總部位于亞特蘭大的阿爾斯頓和伯德律師事務所網絡安全準備和應對團隊的聯席主席金·佩雷蒂(Kim Peretti)表示,這些惡意更新在3月至6月之間推送,當時美國正努力應對第一波冠狀病毒感染——這是“一場完美風暴的完美時機”。
金·佩雷蒂說:“現在評估損失是很困難的,可能要花費好幾個月甚至更久,甚至,永遠都不會知道真正的影響”。
對SolarWinds的影響則比較直接和直觀:
美國官員命令任何運行Orion的企業和機構立刻“拔網線”。SolarWinds的股價從上周五的23.50美元跌至周二的18.06美元,下跌超過23%。
與此同時,SolarWinds糟糕的網絡安全實踐也開始接受全面細致的審查。
“完美”獵物
很快,安全業界就發現SolarWinds簡直是一個“完美”的獵物。
據兩位研究人員稱,在此前未報道的調查中,多名罪犯通過地下論壇出售對SolarWinds設備的訪問。
網絡犯罪情報公司Intel471首席執行官馬克·阿雷納透露,其中一人在2017年訪問過該漏洞利用論壇,此人正是FBI通緝的哈薩克斯坦黑客”fxmsp”,本世紀最危險的黑客之一。
安全研究員維諾斯·庫馬爾告訴路透社,去年他提醒公司,任何人都可以使用默認密碼”Solarwinds123″訪問SolarWinds的更新服務器。
位于馬里蘭州的網絡安全公司獵人的聯合創始人凱爾·漢斯洛萬注意到,在SolarWinds意識到軟件被植入木馬后數天,SolarWinds官方站點仍然提供惡意更新下載。
如果說以上還可以用安全衛生狀況糟糕來形容,那么一家德國報紙的發現則驚掉了專業人士的下巴:SolarWInds的一個產品支持頁面建議用戶禁止殺毒軟件掃描Orion的產品文件夾(下圖)。
網絡安全人士指出,這條建議相當于公開向黑客發送邀請函。
卡巴斯基研究人員Costin Raiu指出:“有時有合理的理由將某些路徑列入白名單,例如使用具有雙重用途的某些遠程訪問工具時。但是,將程序文件或公共文件中的文件夾列入掃描白名單或跳過這些文件夾是一種可怕的做法,尤其是當這些文件屬于系統上運行的,具有自更新功能的應用程序。”
“終止開關”無法終止
SolarWinds本周三發布了更新的補丁版本,FireEye也給出了緩解措施建議和Github檢測工具頁面。
本周四,FireEye與微軟和GoDaddy合作完成了攻擊終止開關(Kill Switch),能夠阻斷已經部署的SUNBURST后門與C2服務器之間的通信,從而緩解SUNBURST威脅。
FireEye發言人聲稱:“我們已經發現了一個終止開關(Kill Switch),能夠阻止SUNBURST后門繼續運行。如果命令控制服務器域名avsvmcloud.com的解析IP地址在以下范圍內(列表如下),SUNBURST后門會自行終止不再運行。”
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 224.0.0.0/3
- fc00::-fe00::
- fec0::-ffc0::
- ff00::-ff00::
- 20.140.0.0/15
- 96.31.172.0/24
- 131.228.12.0/22
- 144.86.226.0/24
昨天,微軟已經接管了SUNBURST的命令控制服務器域名avsvmcloud.com,而GoDaddy也提供一種DNS解析服務,確保命令控制服務器域名的所有子域名都被解析到20.140.0.1.這個地址。但停止開關遠非游戲終結者,因為停止開關只能阻止Sunburst,而攻擊者很可能已經橫向移動了。
FireEye發言人說:“在FireEye看到的入侵中,攻擊者迅速采取了行動,建立了其他持久駐留機制來訪問Sunburst后門以外的受害網絡。這種終止開關不會影響到攻擊者在目標網絡中建立的其他后門。”
Axonius安全總監Daniel Trauner指出:“禁用任何運行Orion后門版本的服務器并將這些主機與網絡斷開連接都是很明智的,但這遠遠不夠。組織應立即調查駐留或橫向移動的證據,已經打補丁的企業也需要這么做。”