未来无人机送货或重塑家居设计风格

由于“日爆攻击”(SUNBURST)采用了前所未见的全新攻击方法和技术，企业界和网络安全界正密切关注、跟踪和分析此次攻击相关的技术、战术和程序(TTP)。

以下，是网络安全公司Picus Labs用MITER ATT&CK框架映射了SolarWinds事件中攻击者使用的策略、技术和流程，以了解其攻击方法、漏洞影响和缓解方法，研究发现攻击者动用了超过20个ATT&CK战术，以下对其中十种重要战术进行分析。

主要发现

• 这是一场全球性的攻击活动，始于2020年3月，目前正在进行中;
• 攻击活动有可能影响全球成千上万的公共和私人组织;
• 攻击始于软件供应链攻击;
• 威胁参与者对SolarWinds Orion Platform软件的一个组件进行了木马化，该木马组件被FireEye称为SUNBURST(日爆攻击);
• 该软件的木马版本是通过其自动更新机制分发的;
• 攻击者大量使用各种防御规避技术，例如伪装、代码签名、混淆的文件或信息、删除主机上的indicator，以及虚拟化/沙盒规避;
• 攻击者利用了十种不同的MITER ATT&CK战术，包括横向移动、命令和控制以及数据泄露;
• 攻击中使用的技术表明攻击者拥有高超技能。

针对SolarWinds的攻击中使用的战术，技术和程序(映射到MITER ATT&CK框架)本次分析使用MITER ATT&CK 8.1框架。所引用的攻击策略和技术，请参阅企业版ATT&CK 8.1

(https://attack.mitre.org/techniques/enterprise/)。

1. 资源开发

T1587.001开发功能：恶意软件

攻击者会在攻击受害者之前开发恶意软件和恶意软件组件，例如有效载荷、投放程序(dropper)、后门和入侵后期工具。攻击者可能会从头开发全新的恶意软件，也可以使用公开可用的工具。

在SolarWinds事件中，攻击者将其恶意载荷嵌入到SolarWinds Orion Platform软件的合法组件——DLL库SolarWinds.Orion.Core.BusinessLayer.dll。FireEye将该DLL文件的后门版本命名为SUNBURST 。所述SUNBURST后门提供不同的有效载荷，例如，以前从未见过的内存专用Dropper(FireEye称之为TEARDROP)。该dropper能够部署臭名昭著的后期攻击工具Cobalt Strike Beacon。显然，攻击者在FireEye漏洞中使用了Beacon，并偷走了FireEye的Red Team工具(其中包括Beacon)。

T1583.003获取基础结构：虚拟专用服务器

在这种MITER ATT&CK技术中，攻击者为攻击活动租用了虚拟专用服务器(VPS)。根据FireEye的研究，攻击者利用VPS使用与受害者同一国家的IP地址。FireEye在nGitHub上提供了两个Yara规则来检测TEARDROP 。

2. 初始访问

T1195.002供应链攻击：入侵软件供应链

在软件供应链攻击技术中，攻击者可以在最终用户获取软件之前对其进行多种修改，包括：

• 源代码
• 源代码存储库(公共或私有)
• 开源依赖的源代码
• 开发和分发系统
• 更新机制
• 开发环境
• 编译后的发行版本

在SolarWinds Orion漏洞中，攻击者通过将恶意代码嵌入到SolarWinds库文件SolarWinds.Orion.Core.BusinessLayer.dll中，向后攻击了Orion Platform软件的三个版本：2019.4 HF 5、2020.2(暂无热修复补丁)和2020.2 HF 1 。尚不清楚攻击者如何篡改此文件。根据微软的研究，攻击者可能已经入侵和篡改了开发或分发系统以嵌入式恶意代码。另一个说法是，攻击者可能使用泄漏的FTP凭据将恶意DLL文件上传到SolarWinds的源代码存储库中。

包含恶意DLL后门文件的SolarWinds Orion Platform软件更新文件是通过其自动更新机制分发的。

作为对策，请检查以下位置是否存在篡改的SolarWinds.Orion.Core.BusinessLayer.dll文件：

%PROGRAMFILES%SolarWindsOrion%WINDIR% System32configsystemprofileAppDataLocalassemblytmp

如果该DLL具有以下SHA256哈希值之一，则它是被篡改的恶意版本：

（编辑：烟台站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!