SolarWinds 供应链攻击中的第四款恶意软件及其它动态

赛门铁克公司表示，Raindrop 仅用于入侵的最后阶段，仅部署于少数精选的几个目标网络中。迄今为止，仅从调查案例中找到4个 Raindrop 样本。

要了解 Raindrop 在这些攻击活动中的角色和位置，我们必须首先梳理下整个 SolarWinds 事件的时间线。

从微软、火眼、CrowdStrike 和其它公司提供的信息可知，SolarWinds 攻击事件应该发生在2019年年中，当时黑客（被指和俄罗斯之间存在关联）攻陷了位于美国德克萨斯州的软件厂商 SolarWinds 的内网。

入侵者首先部署了 Sunspot 恶意软件，专攻 SolarWinds 公司内网。CrowdStrike 公司指出攻击者利用 Sunspot 修改 SolarWinds Orion app 的 build 进程并将 Sunburst (Solorigate) 恶意软件放在 IT 存储管理系统 Orion 的新版本中。

这些被木马化的 Orion 版本未被检测到并在2020年3月至6月期间活跃于 SolarWinds 的官方更新服务器中。应用了 Orion 更新的企业也在毫不知情的情况下将 Sunburst 恶意软件安装在系统中。

但 Sunburst 并不复杂且除了收集受感染网络的信息并发送给一台远程服务器外并未做太多的事情。即使约1.8万名 SolarWinds 客户受 Sunburst 感染，但黑客仔细挑选了目标并选择仅在少数几个案例中提升攻击，如美国政府机构、微软或安全公司火眼等高层次目标。

当黑客决定“提升访问权限”时，他们使用 Sunburst 下载并安装 Teardrop 恶意软件。

但赛门铁克公司指出，在某些案例中，黑客选择部署 Raindrop 恶意软件而非使用更为广泛的 Teardrop。

尽管是不同的恶意软件，但赛门铁克公司表示这两款后门的功能类似，“是 Cobalt Strike Beacon 的加载器”，供黑客后续用户提升并拓宽在被黑 IT 网络中的访问权限。

但是，虽然 Raindrop 和 Teardrop 的目的相同，但赛门铁克公司表示二者之间还是存在一些差异，最显著的是代码层面的差异，如下表所示：

另外一个重大差别在于，它们的部署方式不同。赛门铁克公司表示，利用更为广泛的 Teardrop 直接由 Sunburst 恶意软件安装，而 Raindrop 神秘地出现在发现 Sunburst 的系统上，但并未有直接证据表明 Sunburst 触发了其安装。

赛门铁克公司表示目前正在调查 Raindrop 是如何被安装的。

此前报告称，黑客还使用 Sunburst 恶意软件运行多种无文件 PowerShell payload，其中很多将在受感染上留下最小的取证证据。虽然并未证实，但很可能 Raindrop 就是这些操作的结果。

更多详情可见完整报告：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware

网络安全公司 Malwarebytes 证实称，SolarWinds 供应链攻击幕后的攻击者能够获得对公司某些邮件的访问权限。

Malwarebytes 公司的首席执行官兼联合创始人 Marcin Kleczynski 指出，“虽然 Malwarebytes 公司并不使用 SolarWinds，但和其它企业一样，我们也遭到攻击。我们能够证实另外一个入侵向量的存在，通过滥用拥有对 Microsoft Office 365 和 Azure 环境提权权限的应用程序而运行。经过深入调查后，我们发现攻击者仅获得对数量有限的公司内部邮件的访问权限。”另外， Kleczynski 指出，公司并未发现内部生产环境或本地环境遭攻陷或越权访问的证据。

Malwarebytes 公司表示，在2020年12月15日受到微软安全响应中心关于 Microsoft Office 365 租户中的某第三方应用中的可疑活动和SolarWinds黑客使用的 TTPs 一致。调查表明，攻击者利用了一个 Azure Active Directory 弱点，从而访问了公司的一些内部邮件。但全面分析 “Malwarebytes 的所有源代码、build 和交付流程“后，并未发现越权访问或攻陷的迹象。

SolarWinds 黑客还向微软 Graph 服务主账户添加了拥有凭据的自签名证书，攻击 Malwarebytes 公司的管理员和服务凭据。这使得攻击者能够“使用该密钥进行认证并经由 MSGraph 通过 API 调用发出邮件请求。“

完整阐述可见：

https://blog.malwarebytes.com/malwarebytes-news/2021/01/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments/

火眼公司发布长达35页的报告，详述了 SolarWinds 黑客所使用的攻击技术以及企业可应用的检测、修复和安全加固策略，同时在 GitHub 上发布了一款免费工具，名为 Azure AD Investigator，旨在帮助企业判断 SolarWinds 黑客（也被称为 UNC2452）是否在它们的网络中使用了这些技术。

报告详述的攻击技术总结如下：

1、窃取 Active Directory Federation Services (AD FS) 令牌签名证书并用该证书为任意用户伪造令牌，从而使攻击者以任意用户的身份通过联合资源提供商（如 Microsoft 365）的认证，而无需用户密码或相应的多因素认证机制。

2、修改或在 Azure AD 中添加受信任域名，添加攻击者控制的新的联合身份提供商 (IdP)。这将使攻击者伪造任意用户的令牌并被认为是 Azure AD 后门。

3、攻陷同步到微软 365 的具有高权限目录角色的本地用户账户凭据，如全局管理员或应用程序管理员。

4、通过添加恶意凭据的方式劫持已有的 Microsoft 365 应用程序，以利用分配给该应用程序的合法权限，如获得以任意用户身份读取并发送邮件的能力、访问用户日历等，同时绕过 MFA。

实际上，CISA 以及 CrowdStrike 均发布了类似的审计工具，分别为 Sparrow 和 CRT，火眼发布的免费审计工具详见：https://github.com/fireeye/Mandiant-Azure-AD-Investigator

完整报告可见：

https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。