Атака SolarWinds Sunburst: глубокое погружение раскрывает серьезные проблемы безопасности
Атака SolarWinds Sunburst — это, по сути, джекпот для всех, кто искал идеальный пример тщательно продуманной, скрытой, возможно, спонсируемой государством, тщательно спланированной и терпеливо выполненной атаки с использованием ранее неслыханных методов. Злоумышленникам удалось не только внедрить продвинутый бэкдор в системы, используемые компаниями из списка Fortune 500 и государственными учреждениями, но и модифицировать установочные файлы для официального обновления. В период с марта по июнь 2020 года «троянизированное» обновление было загружено более чем 18 000 клиентов.
Атака SolarWinds Sunburst раскрывает бесконечную поверхность атаки
В то время как программное обеспечение, получившее известность по всем неправильным причинам, является продуктом мониторинга сети от SolarWinds под названием Orion, атаки на цепочку поставок или атаки третьих сторон становятся очень серьезной проблемой. Программное обеспечение с открытым исходным кодом — это здорово, но определенно есть компромисс, который нельзя игнорировать. Другими словами, вы не можете просто взять хорошее и не работать над плохим. Когда вы загружаете программное обеспечение, службу или приложение из Интернета, они должны быть тщательно проверены на наличие уязвимостей, прежде чем добавлять их в свое приложение.
Сегодня почти каждая организация в мире использует аппаратное и программное обеспечение сторонних производителей, которые, в свою очередь, в большинстве случаев состоят из комбинации различных продуктов сторонних производителей. Если вы представляете древовидную таблицу, в которой каждое устройство или программное обеспечение разветвляется на отдельные компоненты, локальные и облачные, то вы увидите, насколько велика поверхность атаки типичного предприятия сегодня. Подобно атаке Sunburst, не так давно GE пострадала от серьезной утечки данных, вызванной третьей стороной, а Marriott International пострадала дважды за столько же лет.
солнечные лучи
Итак, если атаки на цепочки поставок стали обычным явлением, что такого особенного в атаке Sunburst на SolarWinds? Ну, во-первых, ранние признаки указывают на то, что по крайней мере четыре года планирования включали не только покупку заброшенных интернет-доменов, чтобы они выглядели подлинными, но и кодовую подпись вредоносного бэкдора с правильными сертификатами SolarWinds. Затем этот бэкдор (также называемый Sunburst) был добавлен в установочные файлы для обновления SolarWinds и загружен на официальный сервер обновлений. Хотя официальные оценки утверждают, что только 18 000 клиентов загрузили поврежденные обновления, среди этих клиентов есть Офис президента Соединенных Штатов.
После загрузки бэкдор бросает вызов логике, переходя в начальный период бездействия примерно на две недели, что значительно усложняет его обнаружение, прежде чем он начнет собирать информацию, запускать команды, называемые заданиями, и связываться со своими серверами управления и контроля. (С2с). Собранная информация включает имя домена, сетевые интерфейсы, запущенные процессы или службы и установленные драйверы, а команды заданий включают в себя все, от передачи и выполнения файлов до перезагрузки и отключения систем. После эффективного получения контроля над зараженной средой и выполнения многочисленных проверок бэкдор связывается со своими C2 для получения дальнейших инструкций.
Супер скрытый режим
Назвать эту атаку сложной было бы преуменьшением, поскольку существуют уровни сложности, которые все еще исследуются. В попытке обобщить характеристики Sunburst, он в основном избегает обнаружения, не выполняя все действия, которые делают вредоносные программы обнаруживаемыми. Он не вызывает заметного увеличения размера модуля оболочки, куда он добавлен, он не начинает работать сразу, очень медленно обменивается данными, не имеет шелл-кода x86 и избегает систем с драйверами, процессами или службами, связанными к антивирусным продуктам. Он делает это, просматривая всю системную информацию по черному списку, в котором есть доменные имена в дополнение к драйверам, процессам и службам, которых следует избегать.
Еще одна интересная уловка, которую удается провернуть Sunburst, — это обращение к своим C2 с помощью того, что выглядит как простой DNS-запрос, но на самом деле это запрос, закодированный с информацией о зараженной системе. Кроме того, трафик между бэкдором и C2s имитирует стандартный протокол связи SolarWinds API, в частности протокол Orion Improvement Program (OIP), поэтому весь обмен данными выглядит как законный сетевой трафик. Злоумышленники также позаботились о том, чтобы аутентифицировать все боковые действия с действительными учетными данными пользователя, которые, как считается, были украдены.
В качестве примера уровней сложности, которые здесь существуют, исследователи обнаружили еще один бэкдор под названием Supernova, а также ранее неизвестную дроппер для работы только с памятью, получивший название Teardrop, оба из которых все еще исследуются. Недавно было обнаружено еще одно вредоносное ПО, связанное с SolarWinds Sunburst, получившее название Raindrop.
Собирая кусочки
Первое, что вы должны понять об атаке, подобной инциденту с SolarWinds Sunburst, это то, что хорошие парни в значительной степени имеют шансы против них. Они должны быть начеку и постоянно готовиться, в отличие от других парней, которые могут тщательно планировать атаку в течение четырех лет и наносить удары, когда захотят. Кроме того, хотя в последнее время мы стали свидетелями множества сторонних атак, эта атака действительно заставила мир задуматься об опасности атак на цепочки поставок и навсегда изменила границы глобальной ИТ-безопасности.
Для злоумышленников все дело в том, чтобы найти самое слабое звено в вашей цепочке поставщиков, в то время как командам по безопасности необходимо проверить каждую единицу оборудования и программного обеспечения, купленную у третьей стороны. Аппаратные взломы бывает еще сложнее обнаружить, например, бэкдор-чип размером с рисовое зерно, который был обнаружен на материнских платах, используемых в центрах обработки данных Министерства обороны США, в операциях ЦРУ с беспилотными летательными аппаратами и в бортовых сетях военных кораблей ВМФ. Бэкдор-чип был обнаружен только после того, как третья сторона была нанята для тщательной проверки безопасности и обнаружила, что чип не был частью оригинальной конструкции платы.
Обнаружение поверхности атаки
Хорошая новость заключается в том, что службы безопасности также имеют преимущество, если они его используют. У них есть все время в мире, чтобы изучить поле битвы перед пресловутой битвой. У них есть полный доступ к своим собственным средам задолго до любых атак, что является довольно значительным преимуществом. Пока злоумышленники планируют атаки, группам безопасности необходимо активно изучать свои собственные поверхности атак, чтобы они раньше всех знали, где находятся самые слабые звенья. Хаос-инженерия — отличный способ найти свои слабости и уязвимости раньше, чем кто-либо другой.
Команды безопасности, когда они не имеют дело с нарушениями безопасности, должны постоянно тестировать свою собственную защиту и заранее отображать все организационные активы и конечные точки, которые открыты для Интернета, включая все сторонние продукты. Хороший способ отфильтровать поставщиков программного обеспечения, которые не соответствуют требованиям, — создать стандарт передовых методов обеспечения безопасности, которому должны следовать все поставщики программного обеспечения, чтобы получить право на покупку. Контекстно-зависимая аналитика безопасности и поведения пользователей также является хорошим способом обнаружения вредоносных программ с нестандартным поведением, как мы видели в атаке Sunburst.
Атака SolarWinds Sunburst доказывает, что злонамеренная атака стала новой нормой
В то время как атака SolarWinds Sunburst заставила каждую группу безопасности копаться в поисках подобных бэкдоров в их средах, тот факт, что многие из них, вероятно, все еще не обнаружены в дикой природе, является отрезвляющей мыслью. Организации больше не могут делать предположения о сетевом трафике на основе коммуникационных протоколов, и каждое действие должно считаться виновным до тех пор, пока его невиновность не будет доказана, даже если оно исходит от доверенного приложения. Самое главное, организации должны перестать расти быстрее, чем развиваются их группы безопасности, и, если необходимо, замедлить темпы роста, чтобы система безопасности могла наверстать упущенное. Наконец, сосредоточьтесь на превентивной безопасности, соответствующей текущему ландшафту угроз.