【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉

2020年11月底，FireEye的审查员在内部安全日志审计中发现一条安全警告：一位员工注册了一个新的手机号码接收双因素认证验证码。然而据该员工反馈，这段时间并未在系统中注册新的手机号码，FireEye 迅速组织团队开始彻查。

2020年12月13日，FireEye发布了关于SolarWinds供应链攻击的通告。通告中表明基础网络管理软件供应商SolarWinds Orion 软件更新包中被黑客植入后门，并将其命名为SUNBURST，与之相关的攻击事件被称为 UNC2452。

一、事件介绍

2020年12月14日，美国联邦调查局（FBI）、国家情报局局长办公室（ODNI）与美国国土安全部网络安全、基础设施安全局（CISA）联合发布声明——首次正式确认被黑客植入木马的SolarWinds导致了多个美国联邦政府机构（包括政府部门、关键基础设施以及多家全球500强企业）的网络遭受入侵。

FireEye研究团队通过对UNC2452进行调查，发现攻击者可能已获取了SolarWinds内网高级权限。FireEye通过分析内部的 SolarWinds 软件服务器，并未发现服务器上有恶意软件的安装痕迹，随后又对服务器上的SolarWinds 软件进行逆向分析，在其中一个模块中发现了具有 SolarWinds 公司数字签名的恶意代码。

二、恶意程序分析

SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件SolarWinds的数字签名组件，其中包含了一个后门。通过该后门攻击者可以利用HTTP与第三方服务器进行通信，并通过一系列时间校验来判断是否执行该恶意程序，同时通过校验hash值来保证自身执行环境是否是真实的目标环境。

通过验证当前进程名称的hash值，以及验证文件修改时间，若修改时间符合要求，则继续检查其默认配置项，通过读取config文件中的字段来判断是否执行该恶意程序。在完成一系列校验后，利用DGA算法生成控制域名，根据控制域名解析请求返回CNAME域，继续解析获取真实控制IP地址；当控制域名解析出真正IP地址后，该恶意程序就会主动连接到控制服务器。控制服务器提供了功能全面的控制命令（包括任意启动进程、执行下发的文件、设置注册表项、获取进程信息），据此实现攻击。

此外，通过研究发现该恶意程序还可以提供等待时间调整接口，在被监测到异常行为后攻击者可以选择长时间静默，进而躲避监测，降低暴露的可能性。

三、"SolarWinds"事件特点分析

（一）技术水平极高

本次攻击者选择的攻击武器设计思路隐蔽巧妙，在编码上高度仿照了SolarWinds的编码方式与命名规范等，成功绕过了复杂测试、交叉审核、校验等多个环节，同时触发条件十分苛刻，有效避免了被沙箱等自动化分析工具检出。

SolarWinds在其安全警报中明确指出：这种攻击是一种极有针对性的、手动执行的攻击，而不是广泛的、系统范围的攻击。

（二）深度的渗透工作

攻击者将后门写入代码中，与被感染系统进行隐蔽通信，利用该后门，攻击者可以不受限制地访问SolarWinds软件和分发机制。此外，攻击者利用了名为Teardrop恶意软件控制本地网络，并以此为支点入侵受害目标，收集了大量的一手情报。

（三）有国家背景支持的APT攻击

通过分析该攻击事件，从攻击链路的搭建，到高技术难度工具的开发，再到目标的确认，最后对目标进行深入的控制。整个攻击活动从组织、规模、技术等多个方面综合考虑，其攻击组织必然是大规模的。

因此，从攻击活动的开展、攻击工具使用的技术以及攻击过程中基础设施的支撑来看，此次攻击组织无疑是国家背景的网络间谍组织。

据悉于2021年1月，白宫网络统一协调小组（UCG）首次明确披露俄罗斯情报部门是此次事件的幕后黑手，并为此付出了极高的成本。

四、攻击活动产生的原因

通过对此次攻击事件的深度解析，软件供应链攻击作为一种新型威胁，具有威胁对象多、极端隐蔽、检测难度大、涉及维度广等特点，已成为国家级网络间谍活动的重要选项，是最难防御的间谍活动之一。

（1）软件供应链攻击的防御研究处于起步阶段

2017年微软首次提出“针对软件供应链的网络攻击”的概念。作为一种新的安全问题，目前还缺乏权威而准确的定义。相比于针对目标计算机系统的漏洞安全研究，针对软件供应链安全的研究目前整体还处于提出问题或分析问题的起步阶段，还没有到解决问题的关键阶段，在一定程度上还缺少直接的、有针对性、有价值的研究成果。

（2）暴露面增大

从软件生命周期的角度分析软件供应链攻击，可以简单抽象为软件设计、代码编写到生成软件的开发环节；软件分发和用户下载的交付环节；直至交付到用户的使用环节；三大环节环环相扣，每个环节都面临着安全风险。

（3）大量开源代码的利用

由于开源代码的便利性，在软件开发过程中大量引入了开源组件，开源组件的使用数量呈指数级增长时所带来的安全问题不容忽视。一旦其中一个环节出现了问题，就会导致所有使用该软件库的下游软件均存在该漏洞。

（4）攻守不平衡

对攻击方而言，只需找到软件供应链的一个突破口便可入侵并造成危害，而防御方则需要对整个软件供应链进行完备的安全防护，并保证整个软件的全生命周期的安全性。

（5）补丁更新周期较长

从系统和软件的漏洞公布，到设计补丁，最终测试并发布安全的新版本，需要经过较长的周期，而攻击者根据漏洞生成攻击向量的速度可能更快。

五、网络间谍活动的启示

第一，提高安全防护意识

各企业要加强软件供应链攻击风险防范意识。软件研发机构需要在软件安全质量的检测与控制，以及软件供应链各类渠道加强安全防范。

第二，建设防御体系

面对数量繁多、涉及领域广泛、与用户信息接触最为直接的各类软件产品，目前尚未形成一套防御理论完备、技术手段长久有效的软件供应链防护体系，这将直接导致应对措施和机制缺失、检测和溯源技术水平等跟不上。因此，我国需要建立完整有效的软件供应链防护体系，以提高对于软件供应链攻击的防御能力。

第三，进行严格认证

面对此类问题，在软件设计以及开发过程中可以加强账户验证、令牌验证等多种方式进行严格的验证，确保访问用户的正确性。此外还需校验访问源，保证访问源的安全性。

第四，从官方渠道下载补丁更新

在补丁更新过程中，要尽量选取官方发布的补丁。

国城科技09年至今，长期服务于国家安全，一直处于攻防实战状态，积累对抗经验，形成自有的情报库资源，实战对手遍布全球。