日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

根據(jù)行業(yè)媒體的報道，一個名為“Cozy Bear”的黑客組織日前對IT管理軟件開發(fā)商SolarWinds公司的Orion軟件進行了破壞性的網(wǎng)絡(luò)攻擊，從而獲得了進入美國政府部門和其他組織IT系統(tǒng)的權(quán)限。而大多數(shù)部門和組織并沒有為這種對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊做好準(zhǔn)備。

黑客組織最近對大型網(wǎng)絡(luò)安全機構(gòu)FireEye公司的入侵是一次規(guī)模更大的網(wǎng)絡(luò)攻擊，該攻擊是通過對主流網(wǎng)絡(luò)監(jiān)控產(chǎn)品進行惡意更新而實施的，并對一些政府機構(gòu)和企業(yè)造成了影響。該事件凸顯了對軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊可能造成的嚴重影響，而大多數(shù)組織都沒有為預(yù)防和檢測此類威脅做好準(zhǔn)備。

今年3月，一個黑客組織在一次網(wǎng)絡(luò)攻擊中獲得了訪問多個美國政府部門(其中包括美國財政部和美國商務(wù)部)服務(wù)器系統(tǒng)的權(quán)限。這一事件導(dǎo)致美國國家安全委員會當(dāng)時立即召開緊急會議商議應(yīng)對和解決。

黑客組織“Cozy Bear”的網(wǎng)絡(luò)攻擊破壞了SolarWinds公司開發(fā)的名為“Orion“的網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視平臺，然后使用這一訪問權(quán)限來生成木馬并將其分發(fā)給軟件用戶。在這一消息傳出之后，SolarWinds公司在其網(wǎng)站上的一個頁面宣稱，其客戶包括美國財富500強中的425家廠商、美國十大電信公司、美國五大會計師事務(wù)所、美國軍方所有分支機構(gòu)、五角大樓、美國國務(wù)院，以及全球數(shù)百所大學(xué)和學(xué)院。

對SolarWinds公司的軟件供應(yīng)鏈進行攻擊還使黑客能夠訪問美國網(wǎng)絡(luò)安全服務(wù)商FireEye公司的網(wǎng)絡(luò)，這一漏洞于日前宣布，盡管FireEye公司沒有透露網(wǎng)絡(luò)攻擊者的名稱，但據(jù)《華盛頓郵報》報道，網(wǎng)絡(luò)攻擊者可能是“APT29“或“Cozy Bear”。

FireEye公司在日前發(fā)布的一份咨詢報告中表示：“我們已在全球多個實體中檢測到這一活動。受害者包括北美、歐洲、亞洲和中東地區(qū)的政府部門、咨詢機構(gòu)、科技廠商、電信公司以及礦場，我們預(yù)計其他國家和垂直地區(qū)還會有更多受害者。我們已經(jīng)通知受到網(wǎng)絡(luò)攻擊影響的所有實體?！?/p>

惡意Orion的更新

2020年3月至2020年6月之間發(fā)布的Orion 2019.4 HF 5至2020.2.1版本的軟件可能包含木馬程序。但是，F(xiàn)ireEye公司在分析報告中指出，每一次攻擊都需要網(wǎng)絡(luò)攻擊者精心策劃和人工交互。

網(wǎng)絡(luò)攻擊者設(shè)法修改了一個稱為SolarWinds.Orion.Core.BusinessLayer.dll的Orion平臺插件，該插件是作為Orion平臺更新的一部分分發(fā)的。這一木馬組件經(jīng)過數(shù)字簽名，并包含一個后門，可與網(wǎng)絡(luò)攻擊者控制的第三方服務(wù)器進行通信。FireEye公司將該組件作為SUNBURST進行跟蹤，并已在GitHub上發(fā)布了開源檢測規(guī)則。

FireEye公司分析師說：“在最初長達兩周的休眠期之后，它會檢索并執(zhí)行名為‘作業(yè)’的命令，這些命令包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重新啟動機器以及禁用系統(tǒng)服務(wù)。這一惡意軟件將其網(wǎng)絡(luò)流量偽裝成Orion改進計劃(OIP)協(xié)議，并將偵察結(jié)果存儲在合法的插件配置文件中，使其能夠與合法的SolarWinds活動相融合。其后門使用多個混淆的阻止列表來識別正在運行的取證和防病毒工具作為流程、服務(wù)和驅(qū)動程序。”

網(wǎng)絡(luò)攻擊者將他們的惡意軟件覆蓋率保持在很低的水平，他們更喜歡竊取并使用憑據(jù)，在網(wǎng)絡(luò)中執(zhí)行橫向移動并建立合法的遠程訪問。其后門用來交付一個輕量級的惡意軟件刪除程序，該程序從未被發(fā)現(xiàn)過，并且被FireEye公司稱為TEARDROP。這個程序直接加載到內(nèi)存中，不會在硬盤上留下痕跡。研究人員認為，它被用來部署定制版的Cobalt Strike BEACON有效載荷。Cobalt Strike是一種商業(yè)滲透測試框架和開發(fā)代理，也已被黑客和復(fù)雜的網(wǎng)絡(luò)犯罪組織所采用和使用。

為了避免檢測，網(wǎng)絡(luò)攻擊者使用臨時文件替換技術(shù)遠程執(zhí)行其工具。這意味著他們用他們的惡意工具修改了目標(biāo)系統(tǒng)上的合法實用程序，在執(zhí)行之后，然后用合法的工具替換了它。類似的技術(shù)包括通過更新合法任務(wù)以執(zhí)行惡意工具，然后將任務(wù)還原為其原始配置，從而臨時修改系統(tǒng)計劃的任務(wù)。

FireEye公司研究人員說：“防御者可以檢查SMB會話的日志，以顯示對合法目錄的訪問，并在很短的時間內(nèi)遵循刪除、創(chuàng)建、執(zhí)行、創(chuàng)建的模式。此外，防御者可以使用頻率分析來識別任務(wù)的異常修改，從而監(jiān)視現(xiàn)有的計劃任務(wù)以進行臨時更新。還可以監(jiān)視任務(wù)以監(jiān)視執(zhí)行新的或未知二進制文件的合法任務(wù)?！?/p>

這是FireEye公司所觀察到的威脅參與者所展示的最好的操作安全性，它專注于檢測規(guī)避和利用現(xiàn)有的信任關(guān)系。不過，該公司的研究人員認為，這些網(wǎng)絡(luò)攻擊可以通過持續(xù)防御進行檢測，并在其咨詢報告中描述了多種檢測技術(shù)。

SolarWinds公司建議客戶盡快升級到Orion Platform版本2020.2.1 HF 1，以確保他們正在運行產(chǎn)品的全新版本。該公司還計劃發(fā)布一個新的修補程序2020.2.1 HF 2，它將替換受感染的組件并進一步增強安全性。

美國國土安全部還向政府組織發(fā)布了一項緊急指令，以檢查其網(wǎng)絡(luò)中是否存在木馬組件并進行報告。

并沒有有效的解決方案

對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊并不是什么新事物，安全專家多年來一直警告說，這是最難防范的威脅之一，因為它們利用了供應(yīng)商和客戶之間的信任關(guān)系以及機器對機器的通信渠道，例如用戶固有信任的軟件更新機制。

早在2012年，研究人員發(fā)現(xiàn)Flame惡意軟件的網(wǎng)絡(luò)攻擊者使用了針對MD5文件哈希協(xié)議的加密攻擊，使他們的惡意軟件看起來像是由Microsoft合法簽名的，并通過Windows Update機制分發(fā)給目標(biāo)。這并不是軟件開發(fā)商本身(微軟公司)遭到網(wǎng)絡(luò)攻擊，但是網(wǎng)絡(luò)攻擊者利用了Windows Update文件檢查中的漏洞，證明可以充分利用軟件更新機制。

2017年，卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)了一個名為Winnti的APT組織的軟件供應(yīng)鏈攻擊，該攻擊涉及侵入制造服務(wù)器管理軟件提供商NetSarang公司的基礎(chǔ)設(shè)施，該軟件允許他們分發(fā)產(chǎn)品的木馬版本。采用NetSarang公司合法證書實施數(shù)字簽名。后來，這些網(wǎng)絡(luò)攻擊者入侵了Avast子公司CCleaner的開發(fā)基礎(chǔ)設(shè)施，并向220多萬用戶分發(fā)了該程序的木馬版本。去年，網(wǎng)絡(luò)攻擊者劫持了計算機制造商ASUSTeK Computer的更新基礎(chǔ)設(shè)施，并向用戶分發(fā)了ASUS Live Update Utility的惡意版本。

安全咨詢機構(gòu)TrustedSec公司創(chuàng)始人David Kennedy說，“從威脅建模的角度來看，我不知道有任何組織將供應(yīng)鏈攻擊整合到他們的環(huán)境中。當(dāng)查看SolarWinds的情況時，這是一個很好的例子，表明網(wǎng)絡(luò)攻擊者可以選擇已部署產(chǎn)品的任何目標(biāo)，而這些目標(biāo)是世界各地的許多公司，并且大多數(shù)組織都無法檢測和預(yù)防。”

雖然部署在組織中的軟件可能會經(jīng)過安全審查，以了解開發(fā)人員是否具有良好的安全實踐，以修補可能被利用的產(chǎn)品漏洞，但組織不會考慮如果其更新機制受到影響，該軟件將如何影響其基礎(chǔ)設(shè)施。Kennedy說，“我們在這方面還很不成熟，而且也沒有簡單有效的解決方案，因為很多組織需要軟件來運行他們的工作負載，他們需要采用新技術(shù)來擴大存在并保持競爭力，而提供軟件的組織卻沒有將其視為威脅模型。”

Kennedy認為，首先應(yīng)該從軟件開發(fā)人員開始，并更多地考慮如何始終保護其代碼完整性，同時還要考慮如何在設(shè)計產(chǎn)品時盡量降低風(fēng)險。

他說：“很多時候，當(dāng)組織在構(gòu)建軟件時，將會構(gòu)建一個由外而內(nèi)的威脅模型，但并非總是從內(nèi)而外地考慮。這是很多人需要關(guān)注的領(lǐng)域：如何設(shè)計架構(gòu)和基礎(chǔ)設(shè)施使其更能抵御這些類型的攻擊?是否有辦法通過最小化產(chǎn)品架構(gòu)中的基礎(chǔ)設(shè)施來阻止許多這樣的攻擊?例如，把SolarWinds公司Orion保留在自己的孤島中，這樣就可以使通信正常工作，但僅此而已。一般來說，良好的安全實施是為對手創(chuàng)造盡可能多的復(fù)雜性，這樣即使他們成功了，而且正在運行的代碼也遭到了破壞，網(wǎng)絡(luò)攻擊者也很難實現(xiàn)他們的目標(biāo)?！?/p>

作為軟件公司，也應(yīng)該開始考慮將零信任網(wǎng)絡(luò)原則和基于角色的訪問控制不僅應(yīng)用于用戶，還應(yīng)用于應(yīng)用程序和服務(wù)器。正如并非每個用戶或設(shè)備都能夠訪問網(wǎng)絡(luò)上的任何應(yīng)用程序或服務(wù)器一樣，并不是每個服務(wù)器或應(yīng)用程序都能夠與網(wǎng)絡(luò)上的其他服務(wù)器和應(yīng)用程序進行通信。在將新軟件或技術(shù)部署到他們的網(wǎng)絡(luò)中時，組織應(yīng)該問自己：如果該產(chǎn)品由于惡意更新而受到威脅將會發(fā)生什么情況?他們需要嘗試采取控制措施，以盡可能減少影響。

對于軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊的數(shù)量在未來可能會增加，尤其是在其他網(wǎng)絡(luò)攻擊者看到其成功和廣泛性時。在2017年遭遇WannaCry和NotPetya網(wǎng)絡(luò)攻擊之后，針對組織的勒索軟件攻擊數(shù)量激增，因為它們向網(wǎng)絡(luò)攻擊者表明其網(wǎng)絡(luò)的抵抗力不如他們認為的那樣。從那以后，許多網(wǎng)絡(luò)犯罪組織采用了先進的技術(shù)。

勒索軟件組織也了解利用供應(yīng)鏈的價值，并已開始攻擊托管服務(wù)提供商，以利用其對客戶網(wǎng)絡(luò)的訪問權(quán)。NotPetya本身有一個供應(yīng)鏈組件，因為勒索軟件蠕蟲最初是通過稱為M.E.Doc的計費軟件的后門軟件更新服務(wù)器啟動的，該計費軟件在東歐國家很流行。

Kennedy表示，黑客組織將這次襲擊視為一次非常成功的網(wǎng)絡(luò)攻擊。從勒索軟件的角度來看，他們同時攻擊安裝了SolarWinds Orion平臺的所有組織。他說，“黑客可能知道，對于這種類型的網(wǎng)絡(luò)攻擊，需要提高復(fù)雜性，但是考慮到從勒索軟件團體中看到的進步以及他們投入的資金，這并不是一件容易的事。但我認為以后還會看出現(xiàn)這種情況?！?/p>
分享名稱：SolarWinds公司的Orion軟件遭遇網(wǎng)絡(luò)攻擊：為什么難以發(fā)現(xiàn)
當(dāng)前路徑：http://www.5511xx.com/article/ccoheji.html