SolarWinds 攻击链剖析

May 26, 2021 CyberArk Blog Team

The Privilege Pathway

想象一下，现在有一个攻击者潜伏在您的网络中。您有能力在他们造成损害之前发现并做出反应吗？现在设想一下，不法分子拥有对您 IT 环境中几乎所有文件和系统的特权访问权，并且可以随时模拟任何人类、应用程序或机器身份。您能认出藏在眼皮底下的袭击者吗？

这些只是安全团队在大规模 SolarWinds 攻击利用数字供应链载体进而可能深入全球 18000 多家组织后，自问的许多问题中的一部分。

虽然攻击的细节和其影响持续浮出水面，但很明显，身份泄露和特权访问操纵对这次攻击的成功至关重要。而如今，通过研究不法分子使用的战术、技术和程序 (TTP)，我们可以学到他们展开攻击的许多细节，了解他们如何实现这次由 华盛顿邮报 描述为“相当于潜入国务院，印制完美伪造的美国护照的计算机网络攻击”。

我们请 CyberArk 实验室负责人 Lavi Lazarovitz 帮我们解析此次攻击，从而帮助组织更好地了解所面临的挑战，并优先考虑能够降低最大风险的工作。要获得更深入的技术分析和风险缓解指导，请参加我们于 3 月 18 日举办的网络研讨会，并在 4 月 22 日（美国注册，欧洲、中东与非洲注册和亚太区及日本即将推出！）从整体上了解“Solorigate”等重大攻击事件对防御者和攻击者而言意味着什么。

解析 SolarWinds 攻击的三个主要阶段

攻击的起源

2020 年 12 月初，一些组织发现并在几天内向各自的网络报告了侵入事件。不久，安全和威胁分析师就将这些点联系起来，因为不法分子在这些公司最初获得立足的方式都是相同的：在一个流行的基础设施监控和管理平台（SolarWinds 的 Orion）的更新中植入特洛伊木马。很快，许多其他组织和政府机构也发现了类似感染。

但为什么是 Orion？“因为它无处不在——从交换机和路由器到防火墙、虚拟化基础设施、Active Directory、存储管理工具等等，”Lazarovitz 解释道。“所有这些连接都依赖于凭据，在大多数情况下，这些凭据具有很高的特权。简单地说，Orion 与企业的方方面面都挂钩，这使它成为攻击者的完美目标。”

攻击阶段 1：感染 Orion 软件管道感染

虽然目前还不清楚攻击者到底是如何首先感染 SolarWinds Orion 的，但媒体报道的司法鉴定证据表明，他们在发动攻击前下功夫学习了该公司的代码结构和术语。不过，具体的侵入方式并不重要。重要的是，威胁行为者，特别是来自资源充足的民族/国家的行为者，几乎总能找到进入的途径。这也是为什么防御者必须始终“假设漏洞”。

为了在组织中站稳脚跟，威胁行为者破坏了 CI/CD 管道的“心脏”，即管道中对代码进行测试、包装、装箱和签名的部位，然后成功地更改了 SolarWinds 的源代码。攻击者部署了恶意软件，即如今臭名昭著的“SunSpot”，它以高权限运行，扫描 Orion 构建。

凭借手术般的精确度，在未惊动开发人员或工程师的情况下，恶意软件更改了源文件代码名称（略有更改）以部署后门程序。构建更新后，后门代码被删除，原始文件名也得到恢复。

Lazarovitz 强调这种操作的复杂性，并指出，“攻击者必须使代码中的警告保持静默，确保恶意代码的部署是完美无缺的。”让他们看起来好像从未出现过，这并不是一件容易的事。

这些发现促使许多组织重新审视自身 CI/CD 管道的安全性，尤其是管道编排器和基础架构管理器，因为这些资产具有广泛的特权访问权限。这些组织要求他们的供应链供应商也这样做。

攻击阶段 2：瞄准 SolarWinds 客户

经过大约两周的休眠期（故意暂停以帮助攻击者掩盖行踪），恶意负载开始进行一些侦察和操作安全检查。

其中一项检查旨在识别链接到特定端点安全代理和可能暴露运行中的恶意软件的取证工具的哈希。如果在环境中识别出此“检查表”上的代理或工具，则恶意软件将尝试终止代理或将其自身暂停（如果失败）。

但是，如果恶意软件没有找到这些特定的哈希，或者成功地终止了这些哈希，它就会进入下一个阶段：呼叫总部，从 C&C 服务器分派命令并禁用任何易受攻击的端点安全代理。

“一般来说，”Lazarovitz 解释道，“恶意软件在初始感染时所拥有的权限级别决定了攻击者是否只能感染端点或占领整个网络。”在所有端点上强制执行最小权限原则有助于防止横向移动，使攻击者更难实现目标。但在这种数字供应链攻击中，恶意软件在到达每个 Orion 客户组织时已经拥有了提升后的权限。

值得关注的是，事后看来，保护 Orion 凭据数据库的凭据防盗策略可能因为迫使行为者使用增加暴露机会的工具和技术来减缓攻击。

但事实上，“一旦进入，攻击者就可以访问且几乎肯定会在下一阶段的攻击中使用 Orion 特权凭据，” Lazarovitz 说道。

攻击阶段 3：特权提升以到达高价值目标

根据报告，攻击者很可能收集了存储在 Orion 数据库中的凭据，例如Active Directory、防火墙和基础架构以及网络管理软件等的传统 Tier 0 资产。这将使特权快速提升。而且，有了这些强大的凭据，威胁行为者可能能够立即占领目标网络。

Lazarovitz 说：“但有趣的地方来了。攻击者开始采取措施建立持久性。在拥有足够的权限后，攻击者不仅可以添加后门账户，还可以完全控制整个受信任的租户。这样就可以使用新的可信租户账户继续访问目标网络的应用程序、服务和数据。此外，它消除了组织可能更改密码的影响，并允许攻击者完全绕过多因素身份验证。

要做到这一点，需要多种复杂的方法，尤其是 Golden SAML 技术。

攻击者使用具有高度特权的凭据，成功访问并操纵了受害组织的 SAML 令牌签名证书并伪造数字 SAML 令牌，这些数字 SAML 令牌提供了对环境中几乎所有系统和应用程序（包括本地和云中）的单点登录访问。由于 SAML 令牌签名证书几乎从不更改，攻击者可以在网络中长期存在而不必担心被检测到，并最终实现预期目标。

“Golden SAML 技术强调了这样一个事实，即如果身份提供方的主要密钥（例如，Active Directory 联合身份验证服务）被泄露，那么威胁行为者将“拥有”真相的来源，并成为自己的身份提供方。Lazarovitz 表示：“他们可以根据需要模拟任何用户，不管用户的密码是什么，不管权限级别是什么，也不管是否实施了 MFA。”他强调了实施强有力的身份安全政策和控制措施的重要性，这些政策和控制措施限制了对这些 Tier 0 系统的特权访问，减少暴露，并使尽早侦测成为可能。

欲了解更多关于 Golden SAML 技术的信息（该技术于 2017 年首次被 CyberArk 实验室识别），请访问 CyberArk 威胁研究博客。