近日,研究人員發現駭客透過破壞SolarWinds的"Orion網路管理產品"入侵了聯邦機構和FireEye的網路。此外,多達1.8萬的Orion客戶也正面臨著這次供應鏈攻擊帶來的巨大威脅。
這可能是近年來最嚴重的網路事件之一。目前,攻擊者已經入侵了SolarWinds,他們利用該公司的軟體更新在屬於政府、國防和軍事實體以及許多私營部門公司的系統上安裝了 SUNBURST後門。
那麼在本次事件中,我們能夠看出哪些常見的安全問題呢?
1、遠端監控和管理工具常被用作攻擊媒介
SolarWinds事件表明遠端監控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介。RMM工具可安裝在客戶端伺服器、虛擬機器管理程式、工作站、網路裝置、膝上型電腦和其他移動終結點上,讓攻擊者能夠深入潛伏企業網路。RMM通常具有作業系統級別的訪問許可權,能夠監視修補程式、版本級別以及硬體效能問題(包括 CPU、記憶體等)。而這些遠端工具的安全並沒有受到企業重視並得到有效的防護。
2、構建系統時需要完善的安全機制
攻擊者可能透過訪問公司的網路系統或 CI/CD環境,將SUNBURST惡意軟體插入到合法軟體的更新中。因此,企業需要在軟體開發生命週期中注意安全性。近年來,軟體交付的速度和節奏不斷提升,而安全機制往往被視為這種加速程式中的障礙。如今,企業網路系統對軟體工程團隊而言至關重要,他們依靠這些系統讓自動化測試和程式碼的傳輸變得輕而易舉。為了保證CI/CD系統的可靠性,工程師可能不會在安全方面進行仔細的維護,而實際上,這正是企業應該保護和稽核的地方,包括系統中各類軟體簽名金鑰的使用情況。
3、信任可能導致危機
攻擊者將惡意程式碼插入到 SolarWinds 的 Orion 網路管理產品的合法更新中,正是利用了企業對SolarWinds的信任。在這種情況下,接收更新的人很難意識到惡意軟體隱藏在數字簽名的軟體元件中。此攻擊是利用受信任的第三方向大量企業或消費者傳播惡意軟體的典型示例。這些供應商的客戶往往完全信任這些技術。SolarWinds 活動特別巧妙,因為它利用了IT員工和網路管理員信任的技術,並且使用較高的特權訪問企業網路。
4、企業需要為長遠的安全做打算
許多APT網路攻擊很難被第一時間發現和檢測,難以攔截。並且,對攻擊從何入侵的檢測可能存在錯誤,其影響範圍和代價也難以預估。
早期關於這次大規模網路間諜活動的報導稱,它最初的傳播媒介是SolarWinds的 Orion 網路管理平臺。然而,隨後CISA公佈了一項分析顯示,攻擊者可能還使用了其他的訪問媒介。這一事件提醒我們,攻擊者會利用隱藏惡意活動、維護永續性的混淆和反取證等策略,使得攻擊被發現後,依然能進行下一次攻擊。據報導,這次攻擊中使用的策略包括利用在受害者國家/地區具有IP地址的虛擬私人伺服器,將最終的IP地址輪換到不同的端點。另外,還使用了偽造的憑據進行橫向移動和特權訪問。
因此,企業應當為長遠的安全做打算,事後補救不如未雨綢繆。目前,多數無檔案攻擊和APT攻擊利用了某些應用程式和作業系統所特有的結構與系統工具,而這正是反惡意軟體工具在檢測和防禦方面的疏漏點。當前有效的解決方案就是使用基於核心級的監控,捕獲每個目標程式的動態行為。安芯網盾所提供的高階威脅實時防護解決方案,該方案基於硬體虛擬化技術構建記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,防止駭客利用零日漏洞或未修復漏洞進行的攻擊。
參考連結:
[1]https://www.darkreading.com/attacks-breaches/solarwinds-campaign-focuses-attention-on-golden-saml-attack-vector/d/d-id/1339794
[2]https://www.darkreading.com/5-key-takeaways-from-the-solarwinds-breach/d/d-id/1339764
[3]https://www.darkreading.com/vulnerabilities---threats/prepare-to-fight-upcoming-cyber-threat-innovations/a/d-id/1339592
安芯網盾(北京)科技有限公司(簡稱安芯網盾)是專注於記憶體安全的高新技術企業,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術,核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎,被評為具有發展潛力和行業價值的網路安全新創企業。
安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,切實有效保障使用者的核心業務不被阻斷,保障使用者的核心資料不被竊取,已為華為、百度、金山、中國海關、北京銀行、Google、G42等眾多國際知名企事業單位持續提供服務。