SolarWinds響應團隊講述供應鏈攻擊的早期階段

在發(fā)現SolarWinds數據泄露事故后，大家都很混亂、困惑。

在上周四的RSA網(wǎng)絡(luò )會(huì )議中，CrowdStrike、畢馬威、DLA Piper以及SolarWinds公司的高管們談到了他們對這家大型IT軟件供應商2020年供應鏈攻擊事件的早期響應工作。這些人是最早出現在攻擊現場(chǎng)的人，原本該攻擊可能成為影響數萬(wàn)家公司的歷史性攻擊系列事件。

安全供應商FireEye公司最早發(fā)現民族國家攻擊者已經(jīng)破壞其網(wǎng)絡(luò )并訪(fǎng)問(wèn)敏感信息，包括紅隊工具。該公司于12月9日披露了該數據泄露事故，隨后追蹤到SolarWinds的Orion軟件中的后門(mén)漏洞。

FireEye于12月12日將其發(fā)現告知SolarWinds。SolarWinds公司安全副總裁Timothy Brown表示，最初的幾個(gè)小時(shí)進(jìn)展迅速，因為FireEye向SolarWinds提供了攻擊的初步證據，并且該供應商很快確認其Orion監控軟件的副本中被植入惡意代碼，允許攻擊者監視用戶(hù)。

Brown說(shuō)：“我們不需要做很多側面研究來(lái)確定這是否發(fā)生。然后我們做了一些分析以確定它何時(shí)發(fā)生，我們發(fā)現三個(gè)版本受到影響。那時(shí)，我們知道，由于這是內部發(fā)生的事情，我們真的必須聚集正確的人以進(jìn)行調查?！?/p>

DLA Piper律師事務(wù)所合伙人Ronald Plesco是SolarWinds的數據泄露事故指導，他必須迅速組建事件響應專(zhuān)家團隊。他表示，除了需要快速響應并確定數據泄露事故來(lái)源外，事件響應團隊還有另一個(gè)“計時(shí)時(shí)鐘”，因為FireEye想在周日公開(kāi)披露他們的調查結果。Plesco稱(chēng)：“讓所有這些團隊就位，分工合作，以及從項目管理的角度來(lái)看，誰(shuí)將在早期做關(guān)鍵的事情?！?/p>

在CrowdStrike和畢馬威加入之后，事件響應團隊試圖確定被稱(chēng)為“Sunburst”后門(mén)程序如何最終進(jìn)入Orion。畢馬威董事總經(jīng)理David Cowen表示，這次攻擊的第一批罪魁禍首之一是放置在奇怪位置的虛擬機 (VM)。在仔細研究開(kāi)發(fā)和編排服務(wù)器后，一位目光敏銳的開(kāi)發(fā)人員注意到了該VM中的一些奇怪之處。

Cowen稱(chēng)：“隨著(zhù)我們繼續深入堆棧，其中一位開(kāi)發(fā)人員說(shuō)我們發(fā)現了這個(gè)關(guān)機的虛擬機，我們在那里發(fā)現了編譯好的惡意代碼?！?/p>

即使在發(fā)現罪魁禍首之后，要掌握插入的代碼以及誰(shuí)將其放在那里也并非易事。

CrowdStrike公司情報部門(mén)高級副總裁dam Meyers說(shuō)：“對手在其中投入了很多循環(huán)和技巧，使其難以理解?！?/p>

攻擊者使用的技巧之一就是簡(jiǎn)單地掩蓋他們的母語(yǔ)。調查人員通常能夠歸因攻擊的方法是分析代碼中的簡(jiǎn)單語(yǔ)言線(xiàn)索，例如使用西里爾文或中文進(jìn)行評論引用。

然而，在這種情況下，SolarWinds入侵者沒(méi)有留下這樣的線(xiàn)索。調查人員發(fā)現，插入Orion的源代碼已經(jīng)刪除了任何會(huì )泄露作者身份的本地化內容。

Meyers稱(chēng)：“這有效地清洗了代碼。那時(shí)我突然意識到這是下一個(gè)級別操作安全性?！?/p>

最后，調查人員仔細研究了大約100 TB的數據，以生成有關(guān)攻擊的報告。

Brown指出：“這個(gè)攻擊有很多活動(dòng)部件和很多零件。你意識到你需要讓團隊專(zhuān)注于正確的地方，執行獨立但相關(guān)的行動(dòng)。這種混亂得到控制，但有合適的人參與，你可以推動(dòng)前行?！?/p>