SolarWinds 攻擊鏈解析

May 26, 2021 CyberArk Blog Team

The Privilege Pathway

想像一下，現在有個攻擊者正潛伏在您的網路中。您有能力在損害產生之前找出攻擊者並做出反擊嗎？現在，想像您的對手擁有可存取 IT 環境內幾乎每個檔案及系統的特權，並可隨時偽冒任何人類、應用程式或機器身份。您是否能發現在暗處藏匿的攻擊者？

這些只是安全團隊在發生SolarWinds 大規模攻擊之後捫心自問的許多問題之一，攻擊取道數位供應鏈，足足影響全球 18,000 多家企業組織。

儘管攻擊的細節及內情仍在陸續揭露，但可以確定盜用身份及操縱特權存取便是這次攻擊得逞的關鍵。研究攻擊者使用的戰術、技術及程序（TTP）如何達到 《華盛頓郵報》 形容的「等同潛入美國國務院並列印完美偽造的美國護照的電腦網路」，值得汲取的寶貴經驗甚多。

我們邀請 CyberArk 實驗室主任 Lavi Lazarovitz 協助我們解構這場攻擊，讓組織更了解其所面臨的挑戰並確定降低最大風險的優先要務。若想要深入探討其技術面並獲取減輕風險的指引，請參加我們 3 月 18 日的網路研討會，並在 4 月 22 日時探討「Solorigate」這類重大資料外洩事件對防禦者及攻擊者的意義何在，瞭解大局（美國註冊報名、歐洲/中東/非洲註冊報名及亞洲太平洋地區註冊報名不日開放！）。

解構 SolarWinds 攻擊的三個主要階段

事件開端

2020 年 12 月上旬，幾個組織在數日之內陸續發現及通報其網路出現安全漏洞。安全及威脅分析師很快便拼湊出問題的全貌，因為這些公司的初始立足點完全相同：對熱門基礎設施監控與管理平台– SolarWinds Orion的更新暗藏木馬程式。很快地，許多其他組織及政府機構也發現類似的感染跡象。

但為何是 Orion 呢？Lazarovitz 解釋：「因為它的連接無所不在，從交換器和路由器到防火牆、虛擬化基礎設施、Active Directory及儲存管理工具等等。這些連接都依靠憑證完成，而且大多數是高特權憑證。簡言之，Orion與企業內各個區域都有「掛鉤」，因而成為攻擊者的完美目標。」

攻擊第 1 階段：感染 Orion 軟體流程

儘管尚不確定攻擊者一開始如何感染 SolarWinds Orion，但從媒體報導的鑑識證據顯示在發動攻擊之前，他們曾花費心思學習公司的程式碼結構和術語。他們如何設法進入無關緊要，因為威脅發動者（尤其是資源豐富的國內攻擊者）總能找到一個侵入的方法。這也是防禦者始終必須「假定入侵」的原因。

為了在組織內取得立足點，威脅發動者侵入測試、包裝、容器化及簽署程式碼的 CI/CD流程之「心臟」，然後成功更改 SolarWinds 的原始碼。攻擊者部署惡意軟體（即現在臭名昭著的「SunSpot」），以高特權運作並掃描尋找 Orion 版本。

極其精密且不會驚動開發人員或工程師的惡意軟體將原始檔案程式碼名稱變更（稍作更動）以部署後門程式。程式版本更新後，後門程式碼便會被刪除，並恢復原始檔名。

Lazarovitz 強調該操作頗為複雜，並指出：「攻擊者必須關閉程式碼的警告並確保惡意程式的部署滴水不漏。」要做到船過水無痕並不簡單。

這些內情的曝光促使許多組織重新檢驗本身 CI/CD 流程的安全性，尤其是流程編排工具及基礎設施管理器，因為這些資產包含大量特權存取權限。這些組織要求他們的供應鏈供應商也採取同一做法。

攻擊第 2 階段：鎖定 SolarWinds 客戶為目標

蟄伏大約兩週之後（故意暫停行動，幫助攻擊者掩飾蹤跡），惡意程式載體開始進行偵察及維運安全檢查。

其中一項檢查是為了找出與可能揭露執行中的惡意軟體的特定終端安全代理程式及鑑識工具連結的雜湊值。若發現此「檢查清單」上的代理程式或工具，惡意軟體將嘗試終止該代理程式或（若未能成功則）暫停本身運作。

但是，如果惡意軟體未找到這些特定的雜湊值或成功終止它們，將進入下一階段：回報，從 C&C 伺服器分派指令並停用所有脆弱的終端安全代理程式。

Lazarovitz解釋說：「通常，惡意軟體在感染初期擁有的特權級別便可決定最終是終端受感染或是整個網路被接管。」在所有終端上實施最小特權原則有助防止橫向移動，讓攻擊者更難得手。但是，當數位供應鏈遭受攻擊時，惡意軟體到達每個 Orion 客戶組織時已經持有更高級別的特權。

若從事後諸葛的角度，保護 Orion 憑證資料庫的憑證盜竊防護政策可能已減慢攻擊速度，因為它迫使攻擊者使用會增加曝光機會的工具及技術。

但事實是，「攻擊者一旦進入，Orion 的特權憑證即唾手可得，而且幾乎一定會在下一階段的攻擊中使用。」Lazarovitz 指出。

攻擊第 3 階段：特權升級至高價值目標

根據報告，攻擊者很可能已收集儲存在 Orion 資料庫內的憑證，例如 Active Directory、防火牆、基礎設施及網路管理軟體等傳統第 0 層資產。這可幫助特權迅速升級。有了這些強大的憑證，威脅發動者可立即掌控整個目標網路。

「此時好戲才要開始上演。」Lazarovitz 說道。攻擊者開始採取行動建立持久性，他們擁有足夠的特權，不僅可增設一個後門帳號，全體可信任租戶都在其掌控之中。這使他們可以透過新的可信任租戶帳號持續存取目標網路的應用程式、服務和資料。此外，它完全不受組織可能變更密碼的影響，攻擊者還可完全規避多重要素驗證。

為做到這一點，需要混合使用多種複雜精密的方法，特別是 Golden SAML 技術。

攻擊者使用高特權憑證成功存取及操縱受害組織的 SAML令牌簽章證書，並偽造數位 SAML 令牌，以取得對地端及雲端環境內幾乎任何系統及應用程式的單一登入存取權。由於 SAML 令牌簽章證書幾乎從未變更，攻擊者可在網路內長時間潛伏也不必擔心被發現，最終達到預期目標。

「Golden SAML 技術突顯一個事實：如果身份提供者的主要金鑰被盜用（例如 Active Directory Federation Services），威脅發動者將可「擁有」身份資訊來源並成為自己的身份提供者。他們可假冒任何所需的用戶，無論用戶密碼及特權級別為何、是否實施 MFA。」 Lazarovitz 表示。他強調實施強大身份安全政策與控制以限制對第 0 層系統的特權存取、減少暴露並及早啟用偵測的重要性。

CyberArk 實驗室於 2017 年發現 Golden SAML 技術。有關該技術的相關詳情，請造訪CyberArk 威脅研究部落格。