SolarWinds供應鏈攻擊事件對工業OT/ICS網絡攻擊預防的啟示
【編者按】2020年12月曝光的SolarWinds供應鏈攻擊事件成了網絡安全行業的頭號新聞,這一事件某種程度上將改變IT、OT和ICS網絡安全團隊的認知和實踐。新冠疫情全球流行及原油市場崩潰在2020年造成了相當大的干擾,并改變了IT和網絡安全團隊的短期工作重點。但是,在進入新年之際,網絡安全團隊的關注重點將重新回到基礎的網絡安全問題上,并且自2021年開始將關注針對OT/ICS的網絡攻擊防御。
一、SolarWinds供應鏈攻擊事件回顧
FireEye于2020年12月初公開披露了一個大型、復雜的網絡供應鏈攻擊,SolarWinds產品于2020年3月左右被攻擊者植入后門,受到了嚴重的供應鏈攻擊。
據官方報告描述,SolarWinds軟件在2020年3-6月期間發布的版本均受到供應鏈攻擊的影響,攻擊者在這段期間發布的2019.4-2020.2.1版本中植入了惡意的后門應用程序。這些程序利用SolarWinds的數字證書繞過驗證,并在休眠2周左右后會和第三方進行通信,并且根據返回的指令執行操作,包括傳輸文件、執行文件、重啟系統等。這些通信會偽裝成Orion Improvement Program(OIP)協議并將結果隱藏在眾多合法的插件配置文件中,從而達成隱藏自身的目的。
官方證實,大約有18,000個用戶已經安裝了SolarWinds的后門版本。這次攻擊的范圍不僅限于政府和網絡公司,還包括財富500強企業、重要的國家安全和重要的基礎設施提供商等。
研究人員發現,在SolarWinds供應鏈攻擊中使用的惡意軟件有四款,分別為Sunspot、Sunburst和Teardrop和Raindrop。攻擊者首先部署了Sunspot惡意軟件,專門在SolarWinds公司的網絡中使用了該惡意軟件。攻擊者使用該惡意軟件修改了SolarWinds Orion應用程序的構建過程,并將Sunburst(Solorigate)惡意軟件插入了新版本的IT網絡管理系統Orion中。
這些木馬化的Orion版本未被發現,并在2020年3月至2020年6月期間活躍在官方的SolarWinds更新服務器上。應用Orion更新的公司還不經意間在其系統上安裝了Sunburst惡意軟件。但是,Sunburst惡意軟件并不是特別復雜,除了收集有關受感染網絡的信息并將數據發送到遠程服務器之外,并沒有做太多其他事情。當黑客決定“升級訪問權限”時,他們使用Sunburst下載并安裝了Teardrop惡意軟件,但是在某些情況下黑客會選擇部署Raindrop惡意軟件。
遭受SolarWinds黑客入侵的安全公司至少有四家,分別為Microsoft、FireEye和CrowdStrike和Malwarebytes。美國多政府機構聯合聲稱,該供應鏈攻擊事件可能由與俄羅斯政府有關的APT組織發起。
OT網絡安全團隊必須有所準備,對工業控制系統的復雜攻擊將成為新常態。對于許多OT/ICS公司而言,更令人擔憂的是,SolarWinds供應鏈攻擊也集中于中小型企業。這些攻擊在數字和物理領域都敲響了警鐘。當前,網絡安全負責人必須立即采取行動,并在OT/ICS環境中實施網絡攻擊預防。
二、工業領域的SolarWinds受害者
Microsoft、FireEye、CrowdStrike等多家組織已對這一重大事件進行了跟蹤分析,深入的調查研究仍在進行中。嵌入SolarWinds SunBurst后門的技術細節已經被公開報道,第二階段的工具正在被發現,但攻擊的規模和幕后黑手的興趣仍在調查中。盡管如此,關于受到的組織數量以及第二階段工具可能已部署的信息仍然有限。基于對歷史C2 DNS響應的分析,有一些關于參與者的猜測。
卡巴斯基研究人員對有多少工業組織使用后門版本的SolarWinds并成為受害者特別關注,并進行了相關研究。
首先,研究人員使用了一些公共可用列表和第三方列表來分析從SunBurst域名生成算法生成的DNS名稱獲得的所有可用的已解碼內部域名。可讀和可歸屬域名的最終列表由將近2000個域名組成。可能受到損害的工業組織經營的行業的信息如下圖所示,工業組織占名單上所有組織的總百分比估計為32.4%。
研究人員還分析了安裝了后門版本的SolarWinds應用程序的遙測系統的用戶信息,并區分了工業領域20多個組織:
工業組織的地理分布廣泛,包括貝寧、加拿大、智利、吉布提、印度尼西亞、伊朗、馬來西亞、墨西哥、荷蘭、菲律賓、葡萄牙、俄羅斯、沙特阿拉伯、臺灣、烏干達,和美國等國家和地區。從北美到亞太地區,所有受害者的地理位置幾乎覆蓋了整個世界。
SolarWinds軟件已高度集成到全球不同行業的許多系統中。研究人員目前尚無證據表明遙測中的任何工業組織都遭到了攻擊者的升級。
Truesec根據從威脅行為者使用的服務器收到的響應,提供了一份可能的第二階段受害者名單,其中包括總部位于不同國家的幾個工業組織。因此,如果符合參與者的利益,不應該排除在某些工業網絡中開展更廣泛活動的可能性。
三、常見的OT/ICS網絡安全謬論
備受矚目的SolarWinds供應鏈攻擊事件以及隨之而來的在2021年實施OT網絡攻擊預防措施的緊迫感,足以澄清之前關于OT/ICS網絡安全的謬論。
我們沒有受到攻擊,因此網絡安全并不是我們的迫切需求。該供應鏈攻擊事件表明,攻擊者在破壞關鍵基礎設施網絡、隱藏其偵察工作以及長時間隱藏網絡訪問方面的復雜程度。網絡入侵或破壞并不總是會導致立即可見的網絡攻擊。
我們太小了,沒人愿意攻擊我們。在當前幾乎無限制的網絡戰環境中,每個組織都在遭受攻擊,無論他們是否愿意承認。在SolarWinds Orion黑客攻擊中,該公司已通知33,000位客戶,多達18,000位用戶下載了包含后門的軟件更新,從而使攻擊者可以訪問網絡,顯然,其中包括大型、中型和小型企業組織。
網絡攻擊的目標是每個組織。各種規模的組織,尤其是關鍵基礎設施和流程行業的組織,都必須避免成為這些攻擊者的攻擊目標。
我們有氣隙隔離,因此網絡安全對我們來說并不擔心。在與OT和ICS運營人員的對話中,氣隙隔離仍然被頻繁的提出。SolarWinds黑客事件導致政府、國防、企業和關鍵基礎設施組織遭受后門惡意軟件的攻擊。事實證明,如今幾乎沒有組織存在真正的氣隙隔離。此外,Mission Secure多年來為世界各地運營關鍵資產(如無人機、油輪、海上平臺、煉油廠、發電廠、水處理設施、交通管理系統等)的客戶進行網絡風險評估的多年經驗表明,沒有一個真正的氣隙隔離。
四、緩解建議
2021年開始是時候關注OT/ICS環境中的網絡攻擊預防了。一旦進入缺乏細粒度或零信任訪問控制和微隔離的網絡的外圍防火墻,單點安全解決方案就不足以保護組織最重要的資產免受當今的網絡對手和威脅的侵害。
網絡安全公司Palo Alto Networks首席執行官稱,每個企業和聯邦機構都需要評估其網絡安全。以下是針對SolarWinds可能受害者的建議:
1、檢查是否安裝了有后門的SolarWinds版本
對于所有SolarWinds客戶,美國國土安全部建議其管轄范圍內的所有組織和機構“立即從其網絡中斷開或關閉2019.4至2020.2.1 HF1版本的SolarWinds Orion產品”。在CISA指示受影響的實體重建Windows操作系統并重新安裝SolarWinds軟件包之前,禁止代理商將Windows主機操作系統(重新)加入企業域。
此外,由于黑客可能會針對類似SolarWinds的OT環境中收集設備清單的其他工具,因此建議OT網絡安全組織與其供應商聯系,要求提供文件,證明這些清單跟蹤機制已針對網絡和暴力攻擊進行加固。
2、實施基于網絡的零信任、微隔離
幾乎所有針對OT/ICS環境的重大網絡攻擊都在整個攻擊鏈中包含了一定程度的外部指揮控制(C2)和偵察或數據收集。為了最大限度地減少和/或完全防止這些攻擊技術,安全人員建議實施基于網絡的零信任、微隔離。
基于網絡的隔離和保護,可以識別和阻止外部C2通信以及后續的網絡掃描或偵察,可以防止像SolarWinds事件中Sunburst惡意軟件那樣的感染的影響。
此外,基于網絡的隔離和保護可以防止未經授權的OT/ICS協議通信以及這些技術存在的大量攻擊選項。由于OT系統具有廣泛的遺留問題,專有和非標準協議和接口,因此存在各種各樣的惡意和格式錯誤的協議攻擊。
在OT/ICS網絡內部實施基于網絡的隔離和保護可以消除大量OT威脅,從而有助于阻止OT的網絡攻擊。
3、對關鍵資產進行連續的信號完整性監控,以防止物理基礎設施受到網絡攻擊
在OT/ICS環境中,最具破壞性的網絡攻擊首先是通過引入簡單的惡意軟件(例如SolarWindsSunburst惡意軟件)進行的入侵,但隨后被允許繼續進行,直到實施某種破壞性物理攻擊為止。
此類物理攻擊的典型示例是十年前的Stuxnet網絡攻擊,該攻擊專門用于破壞目標基礎結構。達到此階段的網絡攻擊會嚴重威脅生命、安全和環境。
正是出于這個原因,即使面對成功的OT網絡入侵,研究人員仍建議對關鍵的物理資產進行連續的信號完整性監控,以防止這些災難性的后果。絕對不允許在物理基礎架構上進行網絡攻擊,并且持續進行信號完整性監控旨在防止攻擊和這些后果。
4、如果檢測到安裝了后門版本的SolarWinds或相關的IOC,啟動安全事件調查并啟動事件響應程序,同時考慮所有可能的攻擊向量:
● 隔離已知遭到破壞的資產,同時保持系統的可操作性;
● 防止刪除可能對調查有用的IOC;
● 檢查所有網絡日志中是否有可疑的網絡活動;
● 檢查系統日志、事件日志和安全日志以進行非法的用戶賬戶身份驗證;
● 找到可疑的進程活動,調查內存轉儲和相關文件;
● 檢查與可疑活動相關的歷史命令行數據。
五、結論
對于OT和ICS關鍵基礎設施和流程行業公司而言,2020年是艱難的一年,就像對我們其他人一樣。而SolarWinds供應鏈攻擊事件,是小型企業和大型企業都陷入無限網絡戰爭環境的最新示例。因此,隨著進入新的一年,實施OT/ICS網絡攻擊預防的緊迫感將越來越明顯。
參考資源:
1.https://www.missionsecure.com/blog/solarwinds-fireeye-hack-urgent-case-for-cyber-attack-prevention-versus-detection-in-ot-ics-networks
2.https://ics-cert.kaspersky.com/reports/2021/01/26/sunburst-industrial-victims/
3.https://www.zdnet.com/article/fourth-malware-strain-discovered-in-solarwinds-incident/
來源:網絡安全應急技術國家工程實驗室
