本文總結(jié)了SolarWinds供應(yīng)鏈攻擊的進(jìn)展情況��,主要包括新發(fā)現(xiàn)的技術(shù)點解讀和攻擊相關(guān)的最新動態(tài)�。
詳盡的攻擊鏈細(xì)節(jié)
1獲取初始權(quán)限階段
1.1 事件進(jìn)展
1月7號,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)更新了其對SolarWinds供應(yīng)鏈攻擊事件的調(diào)查報告《Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations》���。報告指出�,攻擊者在對SolarWinds植入SUNBURST后門之前,使用了密碼猜測和密碼噴灑技術(shù)攻陷了其云基礎(chǔ)設(shè)施���。
Volexity 公司透漏了SolarWinds公司Outlook Web App (OWA)郵件系統(tǒng)的多因素認(rèn)證(MFA)被繞過��、Exchange服務(wù)器被漏洞(CVE-2020-0688)攻陷�、特定郵件被竊取的技術(shù)細(xì)節(jié)��。因為具有相同的TTP��,所以認(rèn)為與此次供應(yīng)鏈攻擊是同一組織所為�。
1.2 技術(shù)點分析
密碼猜測與密碼噴灑
密碼猜測(password guessing)是一種常見的攻擊方式,就是對一個賬戶的用戶名不斷地嘗試不同的密碼����,直到猜測成功。攻擊者通常會選擇系統(tǒng)默認(rèn)密碼��、常用弱口令����、或者根據(jù)目標(biāo)相關(guān)信息生成的密碼字典進(jìn)行密碼爆破攻擊。密碼噴灑(password spraying)又稱反向密碼猜測�����,他的攻擊方式和傳統(tǒng)的密碼猜測正好相反�����,密碼噴灑是使用同一個密碼去猜測不同的用戶名�,看看是哪個用戶使用了這個密碼。密碼猜測是用戶名固定��,優(yōu)先遍歷密碼�����;密碼噴灑是密碼固定����,優(yōu)先爆破用戶名。密碼噴灑對使用密碼錯誤鎖定用戶機制的系統(tǒng)更加有效����。
下面對OWA進(jìn)行攻擊的測試截圖說明密碼猜測與密碼噴灑的區(qū)別�����?梢钥吹矫艽a噴灑不會造成用戶鎖定,因此沒有使用設(shè)定的時間間隔�����,爆破速度很快����;而密碼猜測,在猜測一次密碼之后就要等待一個時間間隔(這里設(shè)置為一分鐘)�,避免造成賬戶被鎖定,下圖分別為密碼猜測和密碼噴灑��。
image.png
image.png
OWA Duo MFA繞過
Volexity的調(diào)查給出了攻擊者繞過Duo MFA保護(hù)的OWA服務(wù)器的一些技術(shù)細(xì)節(jié)�����。
從Exchange 服務(wù)器的日志來看����,攻擊者使用了用戶名和密碼進(jìn)行登錄,但是沒有輸入Duo的第二認(rèn)證因子�。從Duo服務(wù)器的日志來看,也沒有發(fā)起需要使用Duo進(jìn)行二次認(rèn)證的請求�����。Volexity 公司通過OWA服務(wù)器導(dǎo)出的內(nèi)存,可以確定用戶的會話并沒被劫持���,但是攻擊者直接使用了合法的Duo MFA的Cookie參數(shù)duo-sid���。
這是怎么做到的呢��?
首先���,攻擊者在OWA服務(wù)器中獲得了Duo集成身份認(rèn)證的秘鑰(akey)�����。然后����,攻擊者利用這個秘鑰構(gòu)造了一個計算好的Cookie參數(shù)duo-sid���。最后��,攻擊者使用用戶名和密碼進(jìn)行登錄�����,使用duo-sid來認(rèn)證Duo MFA的檢查���,從而實現(xiàn)了最終的成功登錄�。
攻擊者利用的就是MFA本身的機制�����,并不是一個漏洞�,所以沒有觸發(fā)任何安全防護(hù)機制。
CVE-2020-0688
Microsoft Exchange Control Panel (ECP) Vulnerability CVE-2020-0688�,是2020年Exchange 服務(wù)器比較嚴(yán)重的一個漏洞,攻擊者只要擁有一個用戶權(quán)限����,就可以完全控制Exchange服務(wù)器,利用容易��、危害嚴(yán)重�。下圖是本地測試的結(jié)果。
image.png
關(guān)于漏洞更多的細(xì)節(jié)�,可以參考文末ZDI的漏洞鏈接。
OWA郵件竊取
Volexity指出��,攻擊者在控制了Exchange服務(wù)器后���,又做了很多操作�,直到拖走指定用戶的郵件。絕大多數(shù)操作都是通過PowerShell進(jìn)行的�,下面總結(jié)幾個比較關(guān)鍵的操作。
# 獲取Exchange 服務(wù)器用戶名和角色
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “Get-ManagementRoleAssignment -GetEffectiveUsers | select Name,Role,EffectiveUserName,AssignmentMethod,IsValid | ConvertTo-Csv -NoTypeInformation | % {$_ -replace ‘`n’,’_’} | Out-File C:\temp\1.xml”
# 查詢組織管理成員�,sqlceip.exe其實是ADFind.exe
C:\Windows\system32\cmd.exe /C sqlceip.exe -default -f (name=”O(jiān)rganization Management”) member -list | sqlceip.exe -f objectcategory=* > .\SettingSync\log2.txt
# 竊取指定用戶郵件
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “New-MailboxExportRequest -Mailbox foobar@organization.here -ContentFilter {(Received -ge ’03/01/2020′)} -FilePath ‘\\<MAILSERVER>\c$\temp\b.pst'”
# 打包成一個加密壓縮包
C:\Windows\system32\cmd.exe /C .\7z.exe a -mx9 -r0 -p[33_char_password] “C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Redir.png” C:\Temp\b.pst
# 下載壓縮包
https://owa.organization.here/owa/auth/Redir.png
# 清除痕跡
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “Get-MailboxExportRequest -Mailbox user@organization.here | Remove-MailboxExportRequest -Confirm:$False”
2 后門植入階段
2.1 關(guān)于SUNSPOT
事件跟進(jìn)
FireEye發(fā)現(xiàn)的SUNBURST后門的各類行為已經(jīng)被分析的很清楚了,但是SUNBURST后門是如何被植入的一直是個不解之謎����。近日��,CrowdStrike和另一個公司�����,在調(diào)查SolarWinds供應(yīng)鏈攻擊時���, 又有了新發(fā)現(xiàn)���。他們發(fā)現(xiàn)了另一個惡意軟件,并命名為SUNSPOT ���。該惡意軟件的功能就是修改SolarWinds的Orion產(chǎn)品的構(gòu)建過程�����,將正常的代碼替換成SUNBURST后門的代碼�����,從而感染了Orion產(chǎn)品�,形成了最終的供應(yīng)鏈攻擊。
關(guān)于SUNSPOT的主要特點可以總結(jié)為以下幾點:
● SUNSPOT的目的就是在SolarWinds Orion IT管理產(chǎn)品中�����,植入SUNBURST后門����。
● SUNSPOT實時監(jiān)控Orion產(chǎn)品的編譯程序,當(dāng)在編譯Orion產(chǎn)品的過程中會將其中的一個源代碼文件替換為SUNBURST后門的代碼�����,致使編譯出來的產(chǎn)品都帶有后門�。
● SUNSPOT具有一些保護(hù)機制, 避免由于代碼替換引起的編譯錯誤�,所以不會被開發(fā)人員察覺。
關(guān)于SUNBURST后門�����,我們已經(jīng)知道是由SUNSPOT這款惡意軟件植入的,但是SUNSPOT又是怎么植入的呢��,這還需要相關(guān)調(diào)查小組繼續(xù)深入跟蹤�����。
技術(shù)點分析
根據(jù)CrowdStrike的披露���,SUNSPOT使用的技術(shù)點可以總結(jié)為以下的流程:
初始化和記錄日志階段
● SUNSPOT在磁盤上的文件名為taskhostsvc.exe���,被開發(fā)人員內(nèi)部命名為taskhostw.exe�����。SUNSPOT被加入計劃任務(wù)�,保證其開機自啟動,從而實現(xiàn)權(quán)限維持���。
● SUNSPOT執(zhí)行時��,首先會創(chuàng)建名為 {12d61a41-4b74-7610-a4d8-3028d2f56395}的互斥體���,保證其只有一個運行實例�����。創(chuàng)建一個加密的日志�����,路徑為C:\Windows\Temp\vmware-vmdmp.log�����,偽裝成vmware的日志文件�����。
● 日志使用硬編碼秘鑰FC F3 2A 83 E5 F6 D0 24 A6 BF CE 88 30 C2 48 E7結(jié)合R**算法進(jìn)行加密�,一個解密后日志樣例格式如下:
0.000 START
22.781[3148] + 'msbuild.exe' [6252] 181.421[3148] - 0
194.343[3148] -
194.343[13760] + 'msbuild.exe' [6252] 322.812[13760] - 0
324.250[13760] -
324.250[14696] + 'msbuild.exe' [6252] 351.125[14696] - 0
352.031[14176] + 'msbuild.exe' [6252] 369.203[14696] -
375.093[14176] - 0
376.343[14176] -
376.343[11864] + 'msbuild.exe' [6252] 426.500[11864] - 0
439.953[11864] -
439.953[9204] + 'msbuild.exe' [6252] 485.343[9204] Solution directory: C:\Users\User\Source
485.343[ERROR] Step4('C:\Users\User\Source\Src\Lib\SolarWinds.Orion.Core.BusinessLayer\BackgroundInventory\InventoryManager.cs') fails
● SUNSPOT之后會獲取SeDebugPrivilege特權(quán)����,方便后續(xù)讀取其他進(jìn)程內(nèi)存。
劫持軟件構(gòu)建階段
● 類似SUNBURST后門�,SUNSPOT使用自定義的哈希算法處理字符串,尋找MsBuild.exe進(jìn)程。
● SUNSPOT通過NtQueryInformationProcess方法去查詢MsBuild.exe進(jìn)程的PEB����,通過_RTL_USER_PROCESS_PARAMETERS結(jié)構(gòu)體來獲取其參數(shù),通過解析出來的參數(shù)確定是否是Orion產(chǎn)品的構(gòu)建過程����。如果是的話么就進(jìn)行下一步的源代碼替換。
● SUNSPOT在MsBuild.exe進(jìn)程中找到Orion產(chǎn)品解決方案的工程文件路徑�,僅把其中InventoryManager.cs文件內(nèi)容替換為SUNUBURST后門的代碼。
● SUNSPOT為防止自己的SUNBURST后門代碼被修改而導(dǎo)致編譯錯誤��,還會對其進(jìn)行MD5校驗��,MD5值為5f40b59ee2a9ac94ddb6ab9e3bd776ca���。
● SUNSPOT將正常的代碼文件保存為
InventoryManager.bk�,將SUNBUIRST后門代碼命名為InventoryManager.tmp�����,并替換原始的InventoryManager.cs文件����。一旦包含后門的Orion產(chǎn)品構(gòu)建完成,再將InventoryManager.bk恢復(fù)到正常的InventoryManager.cs文件中����。
● 為了防止代碼兼容性導(dǎo)致的代碼編譯告警信息,攻擊者在修改的代碼中加入#pragma warning disable和#pragma warning聲明��,避免發(fā)生告警信息�����,引起開發(fā)人員的注意�����。
● 在整個過程中�,SUNSPOT會檢查另一個互斥體{56331e4d-76a3-0390-a7ee-567adf5836b7},如果存在程序會主動退出��,避免對構(gòu)建過程造成影響�。
2.2 關(guān)于SUNBURST
事件跟進(jìn)
Securonix Threat Research的最新調(diào)研從另一個方面說明了為什么SolarWinds Orion產(chǎn)品中的后門很長時間沒有被發(fā)現(xiàn)的原因。
在SolarWinds的公告中���,建議用戶進(jìn)行以下操作���。
image.png
SUNBURST后門是被SolarWinds文件夾下的Orion文件夾下的SolarWinds.BusinessLayerHost.exe進(jìn)程加載并執(zhí)行�����,但因為SolarWinds Orion產(chǎn)品本身就是監(jiān)控類軟件���,為了自身更好地運行,官方建議加入AV/EDR的白名單中�。攻擊者正是利用這一點來大大降低被安全軟件檢測出來的可能性,再加上SUNBURST后門運行時對運行環(huán)境的嚴(yán)格檢查���,只靠AV/EDR的查殺幾乎沒有可能檢測出來����。
Securonix Threat Research給出的一個建議叫”Watch the Watcher“很有深意�����,SolarWinds Orion產(chǎn)品本身是監(jiān)控類軟件����,是個watcher,我們很應(yīng)該監(jiān)控(Watch)它的行為�����,否則一旦發(fā)生類似本次的攻擊事件--來自信任軟件的“叛變”�����,造成的危害可能會被放大很多倍�����。
技術(shù)點分析
關(guān)于SUNBURST后門的具體行為�,可以查看之前的分析文章《紅隊視角看Sunburst后門中的TTPs》。
3 權(quán)限提升與權(quán)限維持階段
3.1 事件跟進(jìn)
在權(quán)限提升與權(quán)限維持階段�����,CISA發(fā)現(xiàn)攻擊添加了額外的認(rèn)證憑據(jù)(authentication credentials),包括Azure和Microsoft 365 (M365) 的令牌和證書���。認(rèn)證令牌應(yīng)該是在AD FS環(huán)境下濫用Security Assertion Markup Language (SAML)生成的����。微軟在其Azure檢測工具Azure-Sentinel中添加了相應(yīng)的檢測腳本�����,詳情見文末參考鏈接�。
3.2 技術(shù)點分析
Golden SAML
攻擊者使用的技術(shù)通常被稱為Golden SAML�。
一個正常的SAML認(rèn)證過程如下圖:
image.png
圖片來自Sygnia
● 用戶訪問特定服務(wù)�,比如AWS, Office 365。
● 服務(wù)重定向到ADFS進(jìn)行認(rèn)證�。
● 用戶使用域策略認(rèn)證。
● ADFS向用戶返回簽名的SAML令牌����。
● 用戶使用簽名的SAML令牌去訪問特定服務(wù)。
Golden SAML的攻擊流程如下:
image.png
圖片來自Sygnia
● 攻擊者訪問ADFS 服務(wù)器��,并導(dǎo)出其中私鑰和證書���。
● 攻擊者訪問特定服務(wù)���,比如AWS, Office 365。
● 服務(wù)重定向到ADFS進(jìn)行認(rèn)證�����。
● 攻擊者直接通過獲取的私鑰生成簽名的SAML令牌���,省去ADFS的認(rèn)證過程���。
● 攻擊者使用簽名的SAML令牌去訪問特定服務(wù)���。
針對AD FS的Golden SAML攻擊和針對AD DS的Golden Ticket攻擊流程和目的都很類似�����,目的就是構(gòu)造高權(quán)限的憑據(jù)��,繞過一些訪問限制����,達(dá)到權(quán)限維持的目的。
solarleaks公開售賣數(shù)據(jù)
1月13日���,自稱SolarWinds供應(yīng)鏈攻擊的組織�,注冊了個網(wǎng)站公開售賣他們獲取到的數(shù)據(jù)��。其中包括微軟的部分源代碼�����、SolarWinds產(chǎn)品源代碼�����、Cisco產(chǎn)品源代碼和FireEye紅隊工具。
網(wǎng)址:http://solarleaks.net/
image.png
從網(wǎng)站的更新來看�,還是有很多人在嘗試購買這些數(shù)據(jù),攻擊者表示想要看樣例文件確定數(shù)據(jù)的真假��,需要先支付100 XMR�。如下圖。
image.png
查看solarleaks.net的DNS數(shù)據(jù)���,可以發(fā)現(xiàn)域名解析由NJALLA注冊���,這也是俄羅斯黑客組織Fancy Bear和Cozy Bear之前使用的注冊商。其中SQA記錄更是表明讓人無處可查之意You Can Get No Info����。
image.png
攻擊者在網(wǎng)站中聲稱,關(guān)于他們是如何獲取到這些數(shù)據(jù)的線索跟25b23446e6c29a8a1a0aac37fc3b65543fae4a7a385ac88dc3a5a3b1f42e6a9e這個hash值有關(guān)���,但是目前還沒有任何公開文件和這個hash值有關(guān)����。
如果這些數(shù)據(jù)是真的��,并被其他APT組織或黑產(chǎn)組織所利用,那么此次供應(yīng)鏈攻擊的影響可能會延續(xù)到下一個攻擊事件中���。
參考鏈接
Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations https://us-cert.cisa.gov/ncas/alerts/aa20-352a
Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments https://us-cert.cisa.gov/ncas/alerts/aa21-008a
A Golden SAML Journey: SolarWinds Continued https://www.splunk.com/en_us/blog/security/a-golden-saml-journey-solarwinds-continued.html
Detection and Hunting of Golden SAML Attack https://www.sygnia.co/golden-saml-advisory
Dark Halo Leverages SolarWinds Compromise to Breach Organizations https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/
Securonix Threat Research: Detecting SolarWinds/SUNBURST/ECLIPSER Supply Chain Attacks https://www.securonix.com/detecting-solarwinds-sunburst-eclipser-supply-chain-attacks/
SUNSPOT: An Implant in the Build Process https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
SprayingToolkit https://github.com/byt3bl33d3r/SprayingToolkit
CVE-2020-0688 https://github.com/zcgonvh/CVE-2020-0688
ADFSDomainTrustMods https://github.com/Azure/Azure-Sentinel/blob/master/Detections/AuditLogs/ADFSDomainTrustMods.yaml
CVE-2020-0688: REMOTE CODE EXECUTION ON MICROSOFT EXCHANGE SERVER THROUGH FIXED CRYPTOGRAPHIC KEYS https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys·
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
