邱实 牟承晋:十年来最复杂和持久的入侵攻击 ——深度剖析“太阳风”网管软件漏洞安全事件 - 昆仑策
-
邱实 牟承晋:十年来最复杂和持久的入侵攻击 ——深度剖析“太阳风”网管软件漏洞安全事件
2021-01-26
特朗普政府揭露的涉嫌干预总统大选的“太阳风”网管软件漏洞安全事件,并未因为拜登政府入主白宫而平息。进一步深度分析,确认攻击者采用递进持续性战役行动的战术、技术和过程,是近十年来最复杂和持久的入侵攻击之一。一定程度上颠覆了业内人士对网信安全防御传统方法的认知。原美国国家安全局(NSA)网信安全局局长安妮•纽伯格(Anne Neuberger),出任新一届美国国家安全委员会副安全顾问,其履新的首要任务,就是应对和处理“太阳风”网管软件漏洞安全事件。可见问题严重性。2020年12月8日,火眼(FireEye)公司宣布软件工具被窃,疑似是俄罗斯的外国情报局(SVR)或其他由国家资助的攻击者所为。12月14日,美国国家安全委员会启动第41号总统政策指令(PPD-41,奥巴马政府制定的应急计划),召开网信安全事件应急响应小组会议,成立了由联邦调查局(FBI)、中央情报局(CIA)和国家情报总局办公室(ODNI)共同组成的网信统一协调小组(UCG:Unified Coordination Group)。同日,GoDaddy公司将入侵“太阳风”中所使用的恶意域名的指挥与控制权交给了微软,使微软能够激活被其称之为“独奏门”(Solorigate)恶意软件中的“终止开关”(Kill Switch),以便及时发现被“太阳风”感染的用户。提示:美国GoDaddy公司的主要业务,是网络域名注册和域名托管及应用服务。1)“专业入侵/攻击”(hands-on-keyboard intrusion/attack),不是依赖于自动执行任务的程序脚本,是由黑客亲自动手入侵被攻击的系统。“专业入侵”通常是黑客利用泄露或窃取的证书,渗透内部网络的账户,或利用没有防护的服务器中的远程桌面协议(RDP),侵入目标网络,然后通过这些账户或系统所提供的合法访问权限,实施跨网络的递进渗透,并逐步获得更多访问权限的窃取途径。由于对网络或设备访问的合法性,一般很难察觉到异常活动。2)“生成与对抗”(Adversary Simulations and Red Team Operations)模式,“生成”是模拟高级对手在网信入侵/攻击中的战术和技术;“对抗”是测试和评估己方的能力以保护关键资产,以及避免在现实中被作为攻击目标。其中,“Cobalt Strike”是被用于“生成与对抗”的测试和评估软件工具。近年来已发现,“Cobalt Strike”被黑客利用作为入侵渗透的工具。在“太阳风”安全事件中,火眼(FireEye)公司的软件工具被窃,与“Cobalt Strike”相关。3)域名服务的“信标”(DNS Beacon),是“Cobalt Strike”进行渗透测试的主要功能。被入侵的设备利用DNS请求将“信标”发送给指挥与控制的域名服务器,DNS响应通过“信标”通知被入侵的设备进入休眠,或连接指挥与控制的域名服务器下载任务,以及获取如何执行任务的指令。请注意,目前的主流防病毒(AV)系统检测,往往忽略了入侵渗透。“Cobalt Strike”为规避检测所采用的主要是两种技术:⑴ 可移植的恶意代码(shellcode);⑵ 利用域名应用数据,形成可塑的指挥与控制(malleable C2)。其中,DNS“信标”渗透测试方式被黑客所采用,部署指挥与控制的域名服务器,注册一系列虚假子域名作为“信标”,与其他攻击工具结合,形成持续的入侵攻击链(或应用供应链)。“太阳风”网管软件漏洞安全事件是一个典型案例。
三、微软对“太阳风”漏洞的深入分析
微软公司的深入分析和研究报告指出,对“太阳风”网管软件漏洞的调查仍在继续挖掘新的细节。基于对威胁数据的分析和研究表明,在安全漏洞背后的攻击者是熟练的战役策划人员,他们精心计划和实施攻击,保持持久性的同时继续递进渗透。同时,揭示了入侵链(或供应链)中的指挥与控制(C2),以及在线专业手动攻击的能力和趋势,证明这是近十年来最复杂和持久的入侵攻击之一。该报告对网信入侵和攻击的“战术、技术和过程”(TTP,Tactics,Techniques,Procedures)相关方式及方法,归纳如下:洛克希德•马丁公司2010年10月提出的网信“入侵攻击链”(Cyber Kill Chain,又称为是攻防链),经过不断完善,成为常规性规范。其中七个环节中的每一个环节都包含战术、技术和过程(TTP)。● 战术:通过可移植的恶意代码(shellcode),在动态链接库文件(dll)和可执行文件(exe)中植入后门或恶意代码。● 技术:在网络、文件、注册、处理的阶段中运用或结合各种工具和手段,达到预期目的。例如,在图3中的阶段1和阶段7,分别利用DNS 的“域名生成算法”(简称DGA)以及加密的指挥与控制(HTTPS C2)。● 过程:通过后门窃取目标数据和情报。包括:通过DNS建立连接,生成、植入和删除文件,指挥与控制,窃取情报等操作。“太阳风”安全事件被认定是精心策划的战役行动,具备熟练的指挥与控制技能,如图3:其中,在线“专业攻击”(hands-on-keyboard attack),指的是由黑客亲自动手入侵被攻击的系统,而不是依赖于自动执行任务的程序脚本,因而更为隐蔽,且(战役)行动规模大、持续时间长,使得有效的指挥与控制不可或缺。
3)对窃取和利用“Cobalt Strike”入侵渗透的测试发现,“太阳风”的后门(“独奏门”),被连接到经过修改的“Cobalt Strike”入侵渗透工具,并由此在动态链接库文件(dll)中植入恶意代码。
“Cobalt Strike”入侵渗透工具侧重于对未修补的漏洞和错误配置的测试,却被黑客所利用,而目前主流的防病毒(简称AV)系统却对此缺失检测能力。“太阳风”安全事件的持续时序和入侵攻击链以及在线专业(手动)方式和方法,使得这次战役行动的组织与协调、指挥与控制的复杂性和持久性,令人震惊。同时也警示,这不是第一次(可能存在未知),也不会是最后一次,而是代表了网信领域安全与防御长期斗争的趋势。“Cobalt Strike”渗透测试工具的开发目的,本是用于安全防御“生成与对抗”的评估和能力提升,却被黑客所利用,且缺失防范。尤其是被作为网信入侵攻击链中的指挥与控制的DNS“信标”,却是“Cobalt Strike”对抗渗透的测试工具的主要功能。由此,入侵攻击链与应用供应链是并存和依存的关系,如图4:换句话说,从对入侵攻击链的来龙去脉研究,以及战术、技术和过程的分析,有助于发现应用供应链中未知的、潜在的风险和隐患。反之,从对应用供应链的侦测和渗透,能够获得入侵和攻击的精准、降维定位。另一方面,在开放、共享、创新的信息环境中,供应链对正常的研发、集成和应用必不可少,同时对攻防链也是不可或缺。其中,在网信空间的“武器化”没有明确的边界或界限,即任何技术和工具都不是中立的,既可以“载舟”,亦可以“覆舟”。从图1、图2、图3可见,不论是对抗性的渗透测试工具“Cobalt Strike”,还是“太阳风”的后门“独奏门”(Solorigate),DNS“信标”(Beacon)被作为是入侵指挥与控制的载体。特别是在图1中,入侵和攻击的指挥与控制域名服务器,可以与递归域名解析服务器并列(混用),或(伪装)作为是公共域名服务器而难以区分真假。根据持续的实时统计(2021-1-24/00:16,仅限于端口53和运行UDP协议),全球共有1,926,062台公共域名服务器。其中:中国(大陆)的公共域名服务器在全球数量中占比38.8%,且这个比例是在动态变化。例如:2020年10月22日的数量为1,106,552台,占全球总数的46.2%。不得不面对不可否认的严峻事实:中国(大陆)域名空间的入口是完全敞开的,处于良莠不齐的混沌状况和监管缺失的状态。如果其中有被作为DNS“信标”的入侵指挥与控制,实难以发现。2021年1月14日,美国国家安全局(NSA)发布一份网信安全指南:“在政府部门网络中采用加密的DNS”。其中要求,政府部门的局域网络必须应用指定的域名递归解析服务器,并强制性禁止使用公共域名服务器,从信息通信技术及服务(ICTS)供应链的“最后一公里”,切断DNS“信标”作为入侵指挥与控制的连接。简化的信息通信技术及服务(ICTS)供应链如图5 :综上,目前对“太阳风”安全事件的分析和研究,引发了全球对信息通信技术及服务(ICTS)供应链安全的重视及再认识。虽然其影响和后果仍在调查及评估之中,由于美国国家安全委员会的直接介入,可见问题的严重性(包括反制和打击措施)。微软报告中,三个关联的术语概念及入侵/攻击的行为特征,值得关注,并非“太阳风”仅有的关联问题(或挑战)。兹商榷:1) “专业入侵/攻击”(hands-on-keyboard intrusion/attack),是由黑客亲自动手入侵被攻击的系统,而不是依赖于自动执行任务的程序脚本。对于这种以(窃取)合法访问权限实施跨网络的递进渗透,基于模式匹配的传统漏洞扫描或病毒检测方法,是否能有效发现?2)“Cobalt Strike”是用于应对网信入侵“生成与对抗”的有偿开源软件工具,侧重于对未修补漏洞和错误配置的测试,目前发布的版本是4.2。当使用这个测试工具时,是否能发现入侵或攻击者也同时在使用(或供应链中潜在“黄雀在后”)?3)DNS“信标”(Beacon)是利用DNS 服务所设置的隐蔽隧道(Covert Tunnel),不仅可以作为指挥与控制的载体,而且可以用作(通过TCP协议)数据传输。在目前的DNS服务供应链上,DNS“信标”是当前网信安全防御中存在的一个缺失,应当如何应对?重要建议:“太阳风”网管软件漏洞安全事件,应作为提升与推进网信安全认识的动力之一,加强基础研究,切实搞清楚源头和底层的东西,从而加固信息通信技术及服务(ICTS)供应链安全以及数据安全,积极推进数据治理。(作者:邱实,网络信息安全专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】)【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:[email protected]
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.net
相关文章