分析供应链攻击以改善威胁防护

随着供应链攻击的复杂性不断提高,从太阳风SUNBURST事件中可以吸取教训。

istock 1144604245
solarseven

SolarWinds Orion SUNBURST供应链攻击动摇了所有行业安全团队的信心。在此博客中,ExtraHop数据科学总监Todd Kemmerling重构了过去9个月以上攻击的时间表,并提供了有关未来如何改进威胁检测的见解。

 

在发现之前对SUNBURST进行法医检查

在过去的一周中,我一直在研究SUNBURST木马的深度和广度。我认为重要的是花一些时间来了解这种威胁如何使它过去那么多,并且能够持续很长时间,以期改善我们将来处理威胁检测的方式。

 

另外,我注意到一些司法鉴定数据正在从公共档案馆和数据库中消失,我想保留我所能做的。例如,WHOIS记录不再列出Microsoft在陷阱之前对avsvmcloud [。] com域进行的最后更改的注册商。

 

威胁等级0.25(不太可能)

在2018年7月25日,域名avsvmcloud [。] com由 域名抢注 or 错字屋.

 

图片1 超跳

 

我们可以得出这个结论,因为直到最近,该域的活动或社交网络(例如网站或LinkedIn上的提及)几乎为零,并且可以追溯到2019年初检测到域经销商的活动。

 

简单搜索(于2020年12月15日完成) 回溯机 仅显示了2019年的一个条目,其中robots.txt似乎阻止了对该网站建立索引:

 

图片2 超跳

 

一个新的网站在开发过程中推迟建立索引的情况并不少见。记录此条目后不久,该域就开始出售。以下是一些列有avsvmcloud [。] com出售的广告的示例:

 

图片4 超跳

 

广告列表avsvmcloud [。] com供出售。

在这一点上,域没有任何值得关注的地方:

  • 似乎可以将其作为投资购买(以低成本购买,以获利出售)
  • 它的占地面积几乎为零(只有几个IP地址,没有输入或输出链接)
  • 与该域关联的观察到的IP地址来自域经销商及其托管服务
  • 域的社交图(员工姓名,电子邮件地址,电话号码,网页,IP地址,网站)很小

在0.0(威胁可能性为0%)到1.0(威胁可能性为100%)的范围内,我将此风险等级定为0.25(或者很可能不是威胁)。购买和持有域名并不罕见,我有时是出于研究目的和可能的未来项目而这样做。

威胁等级0.375(不确定)

2020年2月25日,avsvmcloud [。] com域由 www.domainsbyproxy.com,由2020年12月13日的WHOIS查询以及其他许多OSINT来源(例如域状态)确认。

图片3 超跳

域名转移所有权并不罕见,但域名休眠两年,突然更改所有权而没有任何相关活动,然后立即变得活跃,这是不寻常的。

随着avsvmcloud [。] com变得更加活跃,可以将其视为一个新域,因为它已经存在了大部分时间。与较早建立的域相比,新近活跃的域被认为风险更大。威胁的可能性仍然很小,但已从“不是威胁”变为“未知威胁”。我将风险等级定为0.375。

回顾过去,很明显,休眠休眠是SUNBURST木马为避免被发现而进行的一项战略性工作。换句话说:积极主动,建立历史,但不采取任何值得注意的行动。

威胁等级0.50(增长中)

2020年2月26日,SUNBURST木马诞生。在短短几分钟内,avsvmcloud [.com]域就从一个IP地址增长到了七个IP地址。这些IP地址来自欧洲和美国的多家云供应商。在接下来的几天中,至少三个云服务提供商将关联的IP地址增加到服务器上的至少15个位置。

从预测建模的角度来看,这是最糟糕的情况。我们知道那里存在威胁,我们知道它是活跃的,我们知道它正在增长,但我们还不知道会发生什么。基于活动的增加,我将风险等级定为0.50。

威胁等级0.90(迫在眉睫)

4月15日,发现了域名生成算法(DGA),其完全限定域名(FQDN)为f526qtbk9bbb9chpf1vt24i.appsync-api.eu-west-1.avsvmcloud [。] com。基于活动的增加,我将风险等级定为0.90。

主动未检测到的威胁

当12月开始出现破坏迹象时,安全社区受到了警报,威胁搜寻者开始看到了攻击的范围和深度。

为什么这种类型的检测具有挑战性?

而 2020年12月13日FireEye博客文章 将DGA描述为“算法生成的域名”,我更喜欢将此FQDN表征为“算法生成的主机名”。

FQDN的“ avsvmcloud”部分确定域是否为DGA。 FQDN的主机名“ f526qtbk9bbb9chpf1vt24i”部分通常不进行评估,因为大型企业通过算法分配主机名并不罕见。该域名中的变量是基于算法的主机名和基于区域的子域。严格来说,域名没有变化,因此没有任何可检测的。

基于区域的子域中的变量似乎是一种通过“不可能的距离”检测来最小化检测机会的机制。这些检测将检查用户从中登录的位置,并考虑该用户是否有可能在这些位置之间旅行。例如,如果用户“ Todd”从巴黎登录到系统,然后在两个小时后从旧金山登录,则将发生无法进行的距离检测。这些可变子域可能会将受害者路由到更多本地攻击者节点。

如果可变子域成功地避免了无法进行的距离检测,并且没有强有力的迹象表明此FQDN构成威胁,那么还有哪些其他信号?我们必须查看异常行为信号。

安全分析师应该怎么做?

此FQDN首次连接到网络时,应将事件检测为异常行为。不寻常并不意味着坏事,但应该进行调查。新的FQDN很常见,对其进行研究需要时间,专用工具以及对适当数据的访问。

当关于FQDN的调查几乎没有结果(没有网站,没有营业地址,没有CEO,没有电话号码,但域名注册商除外)时,您应该认为这是一个错误的强烈信号。

直到互联网上一个未知的参与者连接到您的网络,模棱两可的域才构成威胁。尽管这种情况可能是良性的,但它可疑到足以被视为合法的潜在威胁。

参考文献

此分析中的数据集每个参考数据点均至少有两个来源,但仍应认为是不完整的,因为我们有大约1,700个数据点用于一次攻击,据信具有接近18,000个系统。

 

有关:

版权© 2021 IDG通讯,Inc.