欢迎访问本站!

首页科技正文

usdt回收(www.caibao.it):【高级连续性威胁追踪】SolarWinds供应链攻击连续跟踪希望

admin2021-01-2248资讯

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

主要内容

本文总结了SolarWinds供应链攻击的希望情形,主要包罗新发现的手艺点解读和攻击相关的最新动态。

详尽的攻击链细节

1 获取初始权限阶段

1.1 事宜希望

1月7号,美国网络平安与基础设施平安局(CISA)更新了其对SolarWinds供应链攻击事宜的观察讲述《Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations》。讲述指出,攻击者在对SolarWinds植入SUNBURST后门之前,使用了密码预测和密码喷洒手艺攻陷了其云基础设施。

Volexity 公司透漏了SolarWinds公司Outlook Web App (OWA)邮件系统的多因素认证(MFA)被绕过、Exchange服务器被破绽(CVE-2020-0688)攻陷、特定邮件被窃取的手艺细节。由于具有相同的TTP,以是以为与此次供应链攻击是统一组织所为。

1.2 手艺点剖析

密码预测与密码喷洒

密码预测(password guessing)是一种常见的攻击方式,就是对一个账户的用户名不断地实验差别的密码,直到预测乐成。攻击者通常会选择系统默认密码、常用弱口令、或者凭证目的相关信息天生的密码字典举行密码爆破攻击。密码喷洒(password spraying)又称反向密码预测,他的攻击方式和传统的密码预测正好相反,密码喷洒是使用统一个密码去预测差别的用户名,看看是哪个用户使用了这个密码。密码预测是用户名牢固,优先遍历密码;密码喷洒是密码牢固,优先爆破用户名。密码喷洒对使用密码错误锁定用户机制的系统加倍有用。

下面临OWA举行攻击的测试截图说明密码预测与密码喷洒的区别。可以看到密码喷洒不会造成用户锁定,因此没有使用设定的时间距离,爆破速率很快;而密码预测,在预测一次密码之后就要守候一个时间距离(这里设置为一分钟),制止造成账户被锁定,下图分别为密码预测和密码喷洒。

OWA Duo MFA绕过

Volexity的观察给出了攻击者绕过Duo MFA珍爱的OWA服务器的一些手艺细节。

从Exchange 服务器的日志来看,攻击者使用了用户名和密码举行登录,然则没有输入Duo的第二认证因子。从Duo服务器的日志来看,也没有提议需要使用Duo举行二次认证的请求。Volexity 公司通过OWA服务器导出的内存,可以确定用户的会话并没被挟制,然则攻击者直接使用了正当的Duo MFA的Cookie参数duo-sid。

这是怎么做到的呢?

首先,攻击者在OWA服务器中获得了Duo集成身份认证的秘钥(akey)。然后,攻击者行使这个秘钥组织了一个计算好的Cookie参数duo-sid。最后,攻击者使用用户名和密码举行登录,使用duo-sid来认证Duo MFA的检查,从而实现了最终的乐成登录。

攻击者行使的就是MFA自己的机制,并不是一个破绽,以是没有触发任何平安防护机制。

CVE-2020-0688

Microsoft Exchange Control Panel (ECP) Vulnerability CVE-2020-0688,是2020年Exchange 服务器对照严重的一个破绽,攻击者只要拥有一个用户权限,就可以完全控制Exchange服务器,行使容易、危害严重。下图是内陆测试的效果。

关于破绽更多的细节,可以参考文末ZDI的破绽链接。

OWA邮件窃取

Volexity指出,攻击者在控制了Exchange服务器后,又做了许多操作,直到拖走指定用户的邮件。绝大多数操作都是通过PowerShell举行的,下面总结几个对照要害的操作。

, 获取Exchange 服务器用户名和角色
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “Get-ManagementRoleAssignment -GetEffectiveUsers | select Name,Role,EffectiveUserName,AssignmentMethod,IsValid | ConvertTo-Csv -NoTypeInformation | % {$_ -replace ‘`n’,’_’} | Out-File C:\temp\1.xml”
, 查询组织治理成员,sqlceip.exe其实是ADFind.exe
C:\Windows\system32\cmd.exe /C sqlceip.exe -default -f (name=”Organization Management”) member -list | sqlceip.exe -f objectcategory=* > .\SettingSync\log2.txt
, 窃取指定用户邮件
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “New-MailboxExportRequest -Mailbox foobar@organization.here -ContentFilter {(Received -ge ’03/01/2020′)} -FilePath ‘\\\c$\temp\b.pst'”
, 打包成一个加密压缩包
C:\Windows\system32\cmd.exe /C .\7z.exe a -mx9 -r0 -p[33_char_password]  “C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Redir.png” C:\Temp\b.pst‍‍‍
, 下载压缩包
https://owa.organization.here/owa/auth/Redir.png
, 消灭痕迹
C:\Windows\system32\cmd.exe /C powershell.exe -PSConsoleFile exshell.psc1 -Command “Get-MailboxExportRequest -Mailbox user@organization.here | Remove-MailboxExportRequest -Confirm:$False”

2 后门植入阶段

2.1 关于SUNSPOT

事宜跟进

FireEye发现的SUNBURST后门的各种行为已经被剖析的很清晰了,然则SUNBURST后门是若何被植入的一直是个不解之谜。克日,CrowdStrike和另一个公司,在观察SolarWinds供应链攻击时, 又有了新发现。他们发现了另一个恶意软件,并命名为SUNSPOT 。该恶意软件的功效就是修改SolarWinds的Orion产物的构建历程,将正常的代码替换成SUNBURST后门的代码,从而熏染了Orion产物,形成了最终的供应链攻击。

关于SUNSPOT的主要特点可以总结为以下几点:

· SUNSPOT的目的就是在SolarWinds Orion IT治理产物中,植入SUNBURST后门。

· SUNSPOT实时监控Orion产物的编译程序,当在编译Orion产物的历程中会将其中的一个源代码文件替换为SUNBURST后门的代码,致使编译出来的产物都带有后门。

· SUNSPOT具有一些珍爱机制, 制止由于代码替换引起的编译错误,以是不会被开发人员察觉。

关于SUNBURST后门,我们已经知道是由SUNSPOT这款恶意软件植入的,然则SUNSPOT又是怎么植入的呢,这还需要相关观察小组继续深入跟踪。

手艺点剖析

凭证CrowdStrike的披露,SUNSPOT使用的手艺点可以总结为以下的流程:

初始化和纪录日志阶段

· SUNSPOT在磁盘上的文件名为taskhostsvc.exe,被开发人员内部命名为taskhostw.exe。SUNSPOT被加入计划任务,保证其开机自启动,从而实现权限维持。

· SUNSPOT执行时,首先会建立名为 {12d61a41-4b74-7610-a4d8-3028d2f56395}的互斥体,保证其只有一个运行实例。建立一个加密的日志,路径为C:\Windows\Temp\vmware-vmdmp.log,伪装成vmware的日志文件。

· 日志使用硬编码秘钥FC F3 2A 83 E5 F6 D0 24 A6 BF CE 88 30 C2 48 E7连系RC4算法举行加密,一个解密后日志样例花样如下:

0.000 START
22.781[3148] + 'msbuild.exe' [6252] 181.421[3148] - 0
194.343[3148] -
194.343[13760] + 'msbuild.exe' [6252] 322.812[13760] - 0
324.250[13760] -
324.250[14696] + 'msbuild.exe' [6252] 351.125[14696] - 0
352.031[14176] + 'msbuild.exe' [6252] 369.203[14696] -
375.093[14176] - 0
376.343[14176] -
376.343[11864] + 'msbuild.exe' [6252] 426.500[11864] - 0
439.953[11864] -
439.953[9204] + 'msbuild.exe' [6252] 485.343[9204] Solution directory: C:\Users\User\Source
485.343[ERROR] Step4('C:\Users\User\Source\Src\Lib\SolarWinds.Orion.Core.BusinessLayer\BackgroundInventory\InventoryManager.cs') fails

· SUNSPOT之后会获取SeDebugPrivilege特权,利便后续读取其他历程内存。

挟制软件构建阶段

· 类似SUNBURST后门,SUNSPOT使用自定义的哈希算法处置字符串,寻找MsBuild.exe历程。

· SUNSPOT通过NtQueryInformationProcess方式去查询MsBuild.exe历程的PEB,通过_RTL_USER_PROCESS_PARAMETERS结构体来获取其参数,通过剖析出来的参数确定是否是Orion产物的构建历程。若是是的话么就举行下一步的源代码替换。

· SUNSPOT在MsBuild.exe历程中找到Orion产物解决方案的工程文件路径,仅把其中InventoryManager.cs文件内容替换为SUNUBURST后门的代码。

· SUNSPOT为防止自己的SUNBURST后门代码被修改而导致编译错误,还会对其举行MD5校验,MD5值为5f40b59ee2a9ac94ddb6ab9e3bd776ca。

· SUNSPOT将正常的代码文件保存为

InventoryManager.bk,将SUNBUIRST后门代码命名为InventoryManager.tmp,并替换原始的InventoryManager.cs文件。一旦包罗后门的Orion产物构建完成,再将InventoryManager.bk恢复到正常的InventoryManager.cs文件中。

· 为了防止代码兼容性导致的代码编译告警信息,攻击者在修改的代码中加入,pragma warning disable和,pragma warning声明,制止发生告警信息,引起开发人员的注重。

· 在整个历程中,SUNSPOT会检查另一个互斥体{56331e4d-76a3-0390-a7ee-567adf5836b7},若是存在程序会自动退出,制止对构建历程造成影响。

2.2 关于SUNBURST

事宜跟进

,

usdt收款平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Securonix Threat Research的最新调研从另一个方面说明晰为什么SolarWinds Orion产物中的后门很长时间没有被发现的缘故原由。

在SolarWinds的通告中,建议用户举行以下操作。

SUNBURST后门是被SolarWinds文件夹下的Orion文件夹下的SolarWinds.BusinessLayerHost.exe历程加载并执行,但由于SolarWinds Orion产物自己就是监控类软件,为了自身更好地运行,官方建议加入AV/EDR的白名单中。攻击者正是行使这一点来大大降低被平安软件检测出来的可能性,再加上SUNBURST后门运行时对运行环境的严酷检查,只靠AV/EDR的查杀险些没有可能检测出来。

Securonix Threat Research给出的一个建议叫”Watch the Watcher“很有深意,SolarWinds Orion产物自己是监控类软件,是个watcher,我们很应该监控(Watch)它的行为,否则一旦发生类似本次的攻击事宜--来自信托软件的“叛变”,造成的危害可能会被放大许多倍。

手艺点剖析

关于SUNBURST后门的详细行为,可以查看之前的剖析文章《红队视角看Sunburst后门中的TTPs》。

3 权限提升与权限维持阶段

3.1 事宜跟进

在权限提升与权限维持阶段,CISA发现攻击添加了分外的认证凭证(authentication credentials),包罗Azure和Microsoft 365 (M365) 的令牌和证书。认证令牌应该是在AD FS环境下滥用Security Assertion Markup Language (SAML)天生的。微软在其Azure检测工具Azure-Sentinel中添加了响应的检测剧本,详情见文末参考链接。

3.2 手艺点剖析

Golden SAML

攻击者使用的手艺通常被称为Golden SAML。

一个正常的SAML认证历程如下图:

图片来自Sygnia

· 用户接见特定服务,好比AWS, Office 365。

· 服务重定向到ADFS举行认证。

· 用户使用域计谋认证。

· ADFS向用户返回署名的SAML令牌。

· 用户使用署名的SAML令牌去接见特定服务。

Golden SAML的攻击流程如下:

图片来自Sygnia

· 攻击者接见ADFS 服务器,并导出其中私钥和证书。

· 攻击者接见特定服务,好比AWS, Office 365。

· 服务重定向到ADFS举行认证。

· 攻击者直接通过获取的私钥天生署名的SAML令牌,省去ADFS的认证历程。

· 攻击者使用署名的SAML令牌去接见特定服务。

针对AD FS的Golden SAML攻击和针对AD DS的Golden Ticket攻击流程和目的都很类似,目的就是组织高权限的凭证,绕过一些接见限制,到达权限维持的目的。

solarleaks公然售卖数据

1月13日,自称SolarWinds供应链攻击的组织,注册了个网站公然售卖他们获取到的数据。其中包罗微软的部门源代码、SolarWinds产物源代码、Cisco产物源代码和FireEye红队工具。

网址:http://solarleaks.net/

从网站的更新来看,照样有许多人在实验购置这些数据,攻击者示意想要看样例文件确定数据的真假,需要先支付100 XMR。如下图。

查看solarleaks.net的DNS数据,可以发现域名剖析由NJALLA注册,这也是俄罗斯黑客组织Fancy Bear和Cozy Bear之前使用的注册商。其中SQA纪录更是解释让人无处可查之意You Can Get No Info。

攻击者在网站中声称,关于他们是若何获取到这些数据的线索跟25b23446e6c29a8a1a0aac37fc3b65543fae4a7a385ac88dc3a5a3b1f42e6a9e这个hash值有关,然则现在还没有任何公然文件和这个hash值有关。

若是这些数据是真的,并被其他APT组织或黑产组织所行使,那么此次供应链攻击的影响可能会延续到下一个攻击事宜中。

参考链接

Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations https://us-cert.cisa.gov/ncas/alerts/aa20-352a

Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments https://us-cert.cisa.gov/ncas/alerts/aa21-008a

A Golden SAML Journey: SolarWinds Continued https://www.splunk.com/en_us/blog/security/a-golden-saml-journey-solarwinds-continued.html

Detection and Hunting of Golden SAML Attack https://www.sygnia.co/golden-saml-advisory

Dark Halo Leverages SolarWinds Compromise to Breach Organizations https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

Securonix Threat Research: Detecting SolarWinds/SUNBURST/ECLIPSER Supply Chain Attacks https://www.securonix.com/detecting-solarwinds-sunburst-eclipser-supply-chain-attacks/

SUNSPOT: An Implant in the Build Process https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

SprayingToolkit https://github.com/byt3bl33d3r/SprayingToolkit

CVE-2020-0688 https://github.com/zcgonvh/CVE-2020-0688

ADFSDomainTrustMods https://github.com/Azure/Azure-Sentinel/blob/master/Detections/AuditLogs/ADFSDomainTrustMods.yaml

CVE-2020-0688: REMOTE CODE EXECUTION ON MICROSOFT EXCHANGE SERVER THROUGH FIXED CRYPTOGRAPHIC KEYS https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

网友评论