政府机构的高级持续威胁妥协

2020-12-18 16:00:53

CISA意识到至少在2020年3月就开始出现妥协,而APT参与者则在美国政府机构,关键基础设施实体和私营部门组织中达成了妥协。这位威胁行动者在这些入侵中表现出复杂性和复杂的技巧。 CISA期望从受威胁的环境中删除威胁因素将是非常复杂且具有挑战性的。该对手已经展示了开发软件供应链的能力,并且展示了Windows网络的丰富知识。对手可能还有尚未发现的其他初始访问媒介以及战术,技术和程序(TTP)。当有新信息可用时,CISA将继续更新此警报和相应的危害指标(IOC)。

CISA正在调查显示与该活动一致的敌对TTP的事件,包括一些受害者没有使用SolarWinds Orion或在有SolarWinds Orion的情况下但未观察到SolarWinds开采活动的事件。 Volexity还公开报告说,他们使用APT先前窃取的密钥来观察APT,以生成Cookie来绕过Duo多因素身份验证,从而保护对Outlook Web App(OWA)的访问。[1] Volexity将此入侵归因于与SolarWinds Orion供应链折衷的活动相同,并且两者之间的TTP保持一致。该观察结果表明,除了SolarWinds Orion之外,还有其他初始访问向量,并且可能还有其他未知的访问向量。

SolarWinds Orion是一个企业网络管理软件套件,其中包括性能和应用程序监视以及网络配置管理以及几种不同类型的分析工具。 SolarWinds Orion用于监视和管理内部部署和托管基础结构。为了使SolarWinds Orion具有对这套多样化技术的必要可见性,网络管理员通常会以普遍的特权来配置SolarWinds Orion,使其成为攻击者活动的重要目标。

已经观察到威胁参与者利用了SolarWinds Orion产品[2]的软件供应链漏洞(请参阅附录A)。攻击者在SolarWinds软件生命周期中添加了二进制文件solarwinds.orion.core.businesslayer.dll的恶意版本,然后使用合法的SolarWinds代码签名证书对其进行了签名。此二进制文件一经安装,便使用旨在模拟合法SolarWinds协议流量的协议调出特定于受害者的avsvmcloud [。] com域。初始签入后,对手可以使用域名系统(DNS)响应来有选择地发回新域或IP地址,以进行交互式命令和控制(C2)通信。因此,观察到从SolarWinds Orion设备到avsvmcloud [.com]的流量的实体不应立即得出结论,即对手利用了SolarWinds Orion后门。相反,需要进一步调查SolarWinds Orion设备是否参与了进一步的无法解释的通信。如果观察到与avsvmcloud [。] com域相关的其他规范名称记录(CNAME)解析,则可能发生了利用后门的其他对抗措施。

根据多个私营部门合作伙伴的协调行动,截至2020年12月15日,avsvmcloud [。] com解析为20.140.0 [。] 1,这是Microsoft阻止列表上的IP地址。这否定了将来对植入物的任何使用,并会导致与此域的通信停止。对于感染,攻击者已经将C2移过初始信标的情况,尽管采取此措施,感染仍可能继续。

SolarWinds Orion通常利用大量的高特权帐户和访问权限来执行正常的业务功能。因此,成功折衷这些系统之一可以在信任这些帐户的任何环境中启用进一步的操作和特权。

对手正在广泛使用混淆来隐藏其C2通信。对手使用虚拟专用服务器(VPS)(通常在受害者的本国拥有IP地址)进行大多数通信,以将其活动隐藏在合法用户流量中。攻击者还经常将其“最后一英里” IP地址旋转到不同的端点,以掩盖其活动并避免被检测到。

FireEye报告说,对手正在使用隐写术(混淆文件或信息:隐写术[T1027.003])来掩盖C2通信。[3]该技术在检测活动时否定了许多常见的防御功能。注意:CISA尚未能够独立确认对手是否使用了此技术。

根据FireEye的说法,该恶意软件还会检查硬编码的IPv4和IPv6地址列表(包括RFC保留的IPv4和IPv6 IP),以尝试检测该恶意软件是否在分析环境中执行(例如,恶意软件分析沙箱) );如果是这样,恶意软件将停止进一步执行。此外,FireEye分析确定后门实施了时间阈值检查,以确保C2通信尝试之间存在不可预测的延迟,从而进一步挫败了传统的基于网络的分析。

对手虽然不是一种完整的反取证技术,但却在很大程度上利用受侵害或欺骗的令牌来说明横向移动。这将挫败许多环境中常用的检测技术。由于使用了有效但未经授权的安全令牌和帐户,因此检测此活动将需要成熟度来识别超出用户正常职责范围的动作。例如,与人力资源部门关联的帐户不太可能需要访问网络威胁情报数据库。

综上所述,这些观察到的技术表明了一个对手,该对手熟练,隐秘且具有操作安全性,并愿意花费大量资源来维持秘密存在。

使用跨多种入侵的多种持久性机制观察到了对手。 CISA观察到威胁行为者将身份验证令牌和凭据添加到高度特权的Active Directory域帐户,作为持久性和升级机制。在许多情况下,令牌使您能够访问内部资源和托管资源。 Microsoft已发布了一个查询,可以帮助检测此活动。[4]

微软报告说,攻击者已向现有基础结构中添加了新的联合身份验证信任,CISA认为该技术已由威胁参与者在CISA响应的事件中使用。使用此技术的地方,身份验证有可能发生在组织的已知基础结构之外,并且可能对合法的系统所有者不可见。 Microsoft已发布查询以帮助识别此活动。[5]

正如今天所了解的那样,对手的最初目标似乎是从受害者环境中收集信息。攻击者实现此目标的主要方法之一是使用其升级的Active Directory特权来破坏安全断言标记语言(SAML)签名证书。一旦完成此操作,对手就会创建未经授权但有效的令牌,并将其提供给信任来自环境的SAML令牌的服务。然后,这些令牌可用于访问托管环境(例如电子邮件)中的资源,以通过授权的应用程序编程接口(API)进行数据泄露。

CISA在事件响应工作中观察到了针对主要人员(包括IT和事件响应人员)的电子邮件帐户的对手。

攻击者正在使用IP地址的复杂网络来掩盖其活动,这可能会导致被称为“不可能的旅行”的发现机会。当用户从相距较大地理位置的多个IP地址登录时(即,在两次登录之间的时间段内,一个人实际上无法在两个IP地址的地理位置之间旅行),将发生不可能的旅行。注意:如果合法用户在连接到网络之前应用虚拟专用网(VPN)解决方案,则实施此检测机会可能会导致误报。

大多数组织都有具有1小时有效期的SAML令牌。较长的SAML令牌有效期(例如24小时)可能是异常的。

SAML令牌包含不同的时间戳,包括其发出的时间和上次使用的时间。令牌的发行时间和使用时间具有相同的时间戳,并不表示正常的用户行为,因为用户倾向于在几秒钟内(而不是在发行的确切时间)使用令牌。

在生成令牌后一小时内没有与其用户帐户相关联的登录信息的令牌也值得调查。

由于这种攻击活动模式的性质(以及主要人员,事件响应人员和IT电子邮件帐户的目标),对结果和缓解措施的讨论应被视为非常敏感,并应通过操作安全措施加以保护。需要通过带外通信来制定和实施运营安全计划,以确保所有员工都知道适用的处理警告。

概述在可疑网络上可以接受哪些“正常业务”;

CISA评估从事此警报中描述的活动的威胁行为者使用下面列出的ATT& CK技术。