了解 SolarWinds 供应链攻击

当公众在2020年12月了解到一个持续性威胁（APT）对SolarWinds Orion软件供应链造成了破坏责任后，专家们迅速警告称，要完全计算出其影响可能需要数年，甚至几十年的时间。然而，随着我们对这次攻击了解的深入，似乎我们可能永远无法得知其全部破坏程度。随着猜测继续蔓延，在2021年2月23日参议院情报特别委员会的听证会上提供的证词提供了几个关键洞察。 这是通过SolarWinds更新服务器的一个“后门”执行的一次高度复杂的身份基于的供应链攻击，可能借助了密码喷射技术。 攻击者能够绕过多重身份验证，并在网络内部横向移动，冒充常规用户。 从这些系统中盗取的信息以及黑客留下的恶意软件很可能被用于后续攻击，包括账户接管。 鉴于这次攻击具有精确、针对性的特点，没有单一的安全解决方案能够阻止它。然而，在参议院听证会上的证词强调了身份和密码安全的重要性。通过这些证词，SpyCloud能够将我们的解决方案映射到主要攻击阶段——入侵、传播和后续事件——以展示我们如何以及在哪里能够提供帮助。 攻击的时间表 1. 妥协 尽管攻击者最初入侵SolarWinds网络的方式仍在调查中，媒体和安全专家推测可能是因为暴露的服务器、未打补丁的软件或甚至使用密码喷洒或被盗凭据进行简单的帐户接管一旦进入内部，攻击者能够修改构建过程并在2020年3月至6月发布的SolarWinds的Orion软件平台的不同版本中注入恶意代码。 2. Distribution 超过18,000个组织下载了恶意更新，导致至少9个联邦机构和超过100家私营部门组织遭受已知的损害。攻击者利用了他们的访问权限。窃取身份和令牌来冒充真实用户 ， 回避多因素身份验证， 并在受影响的网络中扩展他们的立足点。 3. 后果 参议院听证会强调，随着时间的推移，将出现更多的受害者和后续攻击事件。此外，攻击者获取的大量身份数据意味着这些信息现在可以被用于各种非法活动。加载到其他密码喷洒和凭证填充工具中 ， 以针对个人和服务， 例如未来的工资单服务和代码存储库。 妥协 我们认为Orion平台是专门针对这个国家行为体的目标，旨在为[我们的]选定客户的信息技术环境创建后门。威胁行为者通过在2020年3月至6月间发布的版本中添加恶意代码（我们称之为SUNBURST）来实现这一目标。因此，在2020年的三个月窗口期间部署了恶意的SUNBURST代码。 - Sudhakar Ramakrishna ， SolarWinds 总裁兼首席执行官 “这是我们所见过的规模最大 ， 最复杂的操作。 ” — — 布拉德 · 史密斯 ， 微软总裁 参议院情报特别委员会的证词明确表明，调查人员仍在努力理解这次攻击的细节，包括攻击者最初如何攻陷SolarWinds。然而，参议院听证会上的专家证人以及网络安全与基础设施安全局（CISA）都指出，薄弱的密码可能是进入系统的可能途径。 根据CISA 的警报"事件响应调查发现，在某些情况下，初始访问是通过猜测密码、密码喷射以及通过外部远程访问服务获取不当保护的管理员凭证来实现的。" 密码喷涂是一种暴力破解攻击类型，犯罪分子使用包含常见密码如“password1234”的用户名列表尝试获取特定网站的访问权限。一旦匹配成功，犯罪者可能会用相同的用户名和密码组合测试尽可能多的账户。 如果我要回到威斯康辛州格林湾附近的地方，并且我有1000个来自那里的电子邮件地址，然后我只是使用密码“gopackgo”进行应用，我可以打赌说，一定有人在使用这个密码的用户是绿湾包装工队的球迷。 - 布拉德 · 史密斯 ， 微软 以布拉德·史密斯（Brad Smith）的“gopackgo”案例为例，人们在密码管理上往往懒惰；我们不仅使用容易猜测的明显密码，还会在多个账户中使用相同的密码。攻击者通常利用用户糟糕的密码卫生习惯，非法访问其个人或企业账户。 在SolarWinds事件中，广泛报道指出攻击者成功利用密码“solarwind123”访问了软件构建服务器。 黑客是否主要通过这种方式进行操作尚不明确。但可以确定的是，该密码至少可以追溯到2017年。 最终，威胁行为者能够利用其访问权限，在SolarWinds的签名CI/CD平台中引入恶意软件，影响了SolarWinds Orion软件平台的特定版本，这是一个广泛用于管理网络、终端和IT基础设施的流行套件。 SpyCloud 可以提供帮助 通过使用SpyCloud，您可以抵御密码喷淋攻击，防止用户设置弱密码或已被盗用的密码。当第三方泄露事件暴露了您的用户凭据时，SpyCloud会自动要求被泄露的用户更改其密码，在犯罪分子利用员工的暴露信息之前。 仅在2020年，SpyCloud就恢复了近15亿个被盗凭证，并将其操作化以保护数百家企业和超过20亿消费者免受账户接管和在线欺诈的侵害。 “gopackgo ” 在 SpyCloud 恢复的泄露数据中出现了多少次 ？ 9,610精确匹配 18,566模糊变化 公司名称甚至更多Common: 610*出来的top航空航天与国防在第三方中找到的员工密码违规行为包括公司名称。 Distribution SolarWinds Orion 软件更新向超过 18,000 客户交付了 SUNBURST 特洛伊木马，其中包括大型企业和政府机构。随即，攻击者开始收集客户的身份和令牌，使他们能够绕过多重身份验证，并扩大其在受害者网络内的影响范围。 违反 PII 可以帮助攻击者绕过 MFA 仅在 2020 年 ， SpyCloud 就收集了 ：4.6B PII 资产 ， 包括 ：1.2B电话资产70M秘密答案 攻击者通过SolarWinds植入物进入了系统，并首先获取了您的密钥、令牌。他们实际上盗取了您的身份架构，以便以您人员的方式访问您的网络。这就是这次攻击难以被发现的原因；从一开始就，这些攻击者拥有通往您家的秘密通道，一旦进入，您所有的密钥都暴露在那里。他们获取了这些密钥，现在可以像您的人一样打开您家里的任何锁。 - Kevin Mandia ， FireEye 首席执行官 这些攻击者用于绕过多因素认证的策略相当高明。然而，犯罪分子拥有多种规避MFA的方法，包括SIM交换、社会工程学、利用暴露的PII回答安全问题，以及在其他被盗账户中搜索TOTP种子。 MFA（多因素认证）是一层保护措施——一个重要的第一步——但还需要额外的层次来保障登录您系统的员工、消费者和供应商的身份安全。如果用户使用有效的凭证登录（即账户接管），组织无法确定该用户是否为犯罪分子，因为登录行为不会触发警报。 SolarWinds Orion 软件更新是这些攻击的主要初始传播途径之一，但这并非唯一入口。在我们所见的一些情况下，俄罗斯行为体使用了激进的密码喷射攻击来获取访问权限。密码喷射是指攻击者尝试使用一系列常见的或相对简单的密码登录多个目标，知道组织中有人可能使用其中的一个作为其密码。 - 布拉德 · 史密斯 ， 微软 参议院听证会还揭示了一些客户未能遵循基本的网络安全措施，这使得攻击者很容易扩大其影响范围。实际上， 并非所有遭受此供应链攻击的受害者都是直接通过SolarWinds Orion软件被攻陷的。再次强调，薄弱及已被攻陷的密码扮演了关键角色，成为了受影响公司中最常见的入侵入口点。 我们正在为客户提供第二阶段调查服务，而这些攻击者入侵系统的首要方式之一就是所谓的“密码喷洒”策略。... 我们公司FireEye有3,300名员工。我必须相信其中一些人使用fireeye.com邮箱访问了互联网上的数十个甚至更多应用。如果任何供应商遭到破坏，并且他们使用相同的密码短语访问amazon.com和fireeye.com，我们可能会遇到问题。 - 凯文 · 曼迪亚 ， 火眼 SpyCloud 可以提供帮助 SpyCloud帮助您在入侵生命周期早期检测并重置被攻破的密码，即在犯罪分子有机会通过密码喷射以及上述所有形式的身份验证因子（MFA）绕过策略利用这些密码之前。同时，它还能自动修复那些暴露的凭证（这减轻了您确保用户安全的责任）。您可以监控不仅您的员工和消费者，还包括那些可能使企业面临风险的第三方，其糟糕的密码安全性可能会对您的企业构成威胁。 Aftermath “太阳斑点通过众多软件开发公司对SolarWinds所使用的软件流程的自动化供应链攻击构成了严重的风险，这些流程在行业中普遍存在。” - Sudhakar Ramakrishna, SolarWinds 在超过18,000个可能受影响的客户范围内，SolarWinds攻击的影响规模前所未有。参议院的证词强调了随着时间的推移将出现更多的受害者，我们预计会看到后续攻击。其他威胁行为体可能会利用相同的注入工具SUNSPOT来破坏未来的软件开发流程。 57%根据 SpyCloud 的数据 ，人们在多个帐户中重复使用密码 有针对性的攻击帐户10%ATO 攻击和80%的损失 根据从受害者收集的信息，现在的威胁行为者已经获取了一个庞大的数据库，其中包含受影响客户组织的大量个人数据，这些数据可以被他们长期利用，对这些个人及其雇主构成重大威胁。攻击者可以将此信息加载到密码喷射和凭证填充工具中，尝试一次性攻破成千上万个账户。 对于拥有有价值资产、访问权限或影响力的个人而言，一个充满动力的攻击者可能会投入更多的时间和创意进行针对性攻击。恶意行为者可能会针对受害者个人账户进行攻击，验证他们在大型银行、加密货币交易所、信用卡公司等处是否重复使用了企业级密码。工作相关的账户也面临风险；即使受影响的企业重置了由其管理的密码，员工可能仍会重复使用这些凭据来保护用于软件开发、云托管、人力资源、客户关系管理等第三方账户的安全。 SpyCloud 可以提供帮助 的风险针对性攻击在发生数据泄露后的18-24个月达到峰值，同时被盗数据仅限于一小撮犯罪分子访问。由于SpyCloud能够在数据泄露发生的几天或几周内快速恢复并操作数据，我们能够帮助企业迅速识别被盗信息，并保护易受针对账户接管攻击的用户。对于高风险员工、董事会成员和投资者，SpyCloud提供了将企业级防护选项扩展到高管个人账户的选择。 Conclusion 员工 ATO 预防保护您的组织免受密码重复使用造成的破坏和 BEC。 从SolarWinds供应链攻击所造成的损害的全面影响将需要数年时间来解开。在此期间，这一事件凸显了弱密码和暴露密码在企业安全中扮演的关键角色。 长箭头 - 右了解更多 忙碌的高管们通常会选择简单的密码或重复使用旧的常用密码以便记住登录信息，这一做法是威胁行为者非常熟悉的。 VIP 卫士保护风险最高的高管免受目标账户收购。长箭头 - 右了解更多 为了信任其消费者的、员工的以及第三方的身份，企业必须将早期检测及暴露凭证的修复策略融入到其网络安全策略中。 Active Directory Guardian自动检测和重置暴露的 Windows 帐户。长箭头 - 右了解更多 SpyCloud 的差异 SpyCloud是一家符合SOC 2标准的公司，采取了所有必要的预防措施以保护您的数据安全。我们的代码在每次重大发布时都会经过内部和第三方的安全审查，数据传输和静止时始终加密。敏感数据的访问通过适当的身份和访问管理解决方案严格控制。 第三方洞察 监控第三方风险并共享数据以帮助进行补救。长箭头 - 右了解更多 SpyCloud的解决方案，依托全球最大的被盗凭证和PII恢复存储库，能够帮助企业领先于账户接管，通过早期检测并自动重置被攻破的密码，防止犯罪分子利用这些信息，从而保持领先地位。 消费者 ATO 预防保护您的用户免受帐户收购欺诈和未经授权的购买。长箭头 - 右了解更多 我们的客户继续告诉我们，他们阻止账户接管的能力既取决于获取相关数据（包括行业中最明文的密码）的能力，也取决于通过自动化使这些数据操作上可执行的能力。