SolarWinds响应团队讲述供应链攻击的早期阶段

发布时间:2021-07-06 23:14 来源:TechTarget中国 阅读:0 作者:TechTarget中国 栏目: 网络安全

在发现SolarWinds数据泄露事故后,大家都很混乱、困惑。

在上周四的RSA网络会议中,CrowdStrike、毕马威、DLA Piper以及SolarWinds公司的高管们谈到了他们对这家大型IT软件供应商2020年供应链攻击事件的早期响应工作。这些人是最早出现在攻击现场的人,原本该攻击可能成为影响数万家公司的历史性攻击系列事件。

安全供应商FireEye公司最早发现民族国家攻击者已经破坏其网络并访问敏感信息,包括红队工具。该公司于12月9日披露了该数据泄露事故,随后追踪到SolarWinds的Orion软件中的后门漏洞。

FireEye于12月12日将其发现告知SolarWinds。SolarWinds公司安全副总裁Timothy Brown表示,最初的几个小时进展迅速,因为FireEye向SolarWinds提供了攻击的初步证据,并且该供应商很快确认其Orion监控软件的副本中被植入恶意代码,允许攻击者监视用户。

Brown说:“我们不需要做很多侧面研究来确定这是否发生。然后我们做了一些分析以确定它何时发生,我们发现三个版本受到影响。那时,我们知道,由于这是内部发生的事情,我们真的必须聚集正确的人以进行调查。”

DLA Piper律师事务所合伙人Ronald Plesco是SolarWinds的数据泄露事故指导,他必须迅速组建事件响应专家团队。他表示,除了需要快速响应并确定数据泄露事故来源外,事件响应团队还有另一个“计时时钟”,因为FireEye想在周日公开披露他们的调查结果。Plesco称:“让所有这些团队就位,分工合作,以及从项目管理的角度来看,谁将在早期做关键的事情。”

在CrowdStrike和毕马威加入之后,事件响应团队试图确定被称为“Sunburst”后门程序如何最终进入Orion。毕马威董事总经理David Cowen表示,这次攻击的第一批罪魁祸首之一是放置在奇怪位置的虚拟机 (VM)。在仔细研究开发和编排服务器后,一位目光敏锐的开发人员注意到了该VM中的一些奇怪之处。

Cowen称:“随着我们继续深入堆栈,其中一位开发人员说我们发现了这个关机的虚拟机,我们在那里发现了编译好的恶意代码。”

即使在发现罪魁祸首之后,要掌握插入的代码以及谁将其放在那里也并非易事。

CrowdStrike公司情报部门高级副总裁dam Meyers说:“对手在其中投入了很多循环和技巧,使其难以理解。”

攻击者使用的技巧之一就是简单地掩盖他们的母语。调查人员通常能够归因攻击的方法是分析代码中的简单语言线索,例如使用西里尔文或中文进行评论引用。

然而,在这种情况下,SolarWinds入侵者没有留下这样的线索。调查人员发现,插入Orion的源代码已经删除了任何会泄露作者身份的本地化内容。

Meyers称:“这有效地清洗了代码。那时我突然意识到这是下一个级别操作安全性。”

最后,调查人员仔细研究了大约100 TB的数据,以生成有关攻击的报告。

Brown指出:“这个攻击有很多活动部件和很多零件。你意识到你需要让团队专注于正确的地方,执行独立但相关的行动。这种混乱得到控制,但有合适的人参与,你可以推动前行。”

免责声明:本站发布的内容(图片、视频和文字)以原创、来自互联网转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:ts@56dr.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。