邱实牟承晋：十年来最复杂和持久的入侵攻击 ——深度剖析“太阳风”网管软件漏洞安全事件

网站首页 > 社会调查 > 事件揭秘 > 阅读信息

点击：作者：邱实牟承晋来源：昆仑策网【原创】发布时间:2021-01-26 08:55:42

特朗普政府揭露的涉嫌干预总统大选的“太阳风”网管软件漏洞安全事件，并未因为拜登政府入主白宫而平息。

进一步深度分析，确认攻击者采用递进持续性战役行动的战术、技术和过程，是近十年来最复杂和持久的入侵攻击之一。一定程度上颠覆了业内人士对网信安全防御传统方法的认知。

原美国国家安全局（NSA）网信安全局局长安妮•纽伯格（Anne Neuberger），出任新一届美国国家安全委员会副安全顾问，其履新的首要任务，就是应对和处理“太阳风”网管软件漏洞安全事件。可见问题严重性。

一、“太阳风”事件简单回顾

2020年12月8日，火眼（FireEye）公司宣布软件工具被窃，疑似是俄罗斯的外国情报局（SVR）或其他由国家资助的攻击者所为。

12月14日，美国国家安全委员会启动第41号总统政策指令（PPD-41，奥巴马政府制定的应急计划），召开网信安全事件应急响应小组会议，成立了由联邦调查局（FBI）、中央情报局（CIA）和国家情报总局办公室（ODNI）共同组成的网信统一协调小组（UCG：Unified Coordination Group）。

同日，GoDaddy公司将入侵“太阳风”中所使用的恶意域名的指挥与控制权交给了微软，使微软能够激活被其称之为“独奏门”（Solorigate）恶意软件中的“终止开关”（Kill Switch），以便及时发现被“太阳风”感染的用户。

提示：美国GoDaddy公司的主要业务，是网络域名注册和域名托管及应用服务。

二、相关术语的定义和概念

1）“专业入侵/攻击”（hands-on-keyboard intrusion/attack），不是依赖于自动执行任务的程序脚本，是由黑客亲自动手入侵被攻击的系统。

“专业入侵”通常是黑客利用泄露或窃取的证书，渗透内部网络的账户，或利用没有防护的服务器中的远程桌面协议（RDP），侵入目标网络，然后通过这些账户或系统所提供的合法访问权限，实施跨网络的递进渗透，并逐步获得更多访问权限的窃取途径。由于对网络或设备访问的合法性，一般很难察觉到异常活动。

2）“生成与对抗”（Adversary Simulations and Red Team Operations）模式，“生成”是模拟高级对手在网信入侵/攻击中的战术和技术；“对抗”是测试和评估己方的能力以保护关键资产，以及避免在现实中被作为攻击目标。

其中，“Cobalt Strike”是被用于“生成与对抗”的测试和评估软件工具。近年来已发现，“Cobalt Strike”被黑客利用作为入侵渗透的工具。在“太阳风”安全事件中，火眼（FireEye）公司的软件工具被窃，与“Cobalt Strike”相关。

3）域名服务的“信标”（DNS Beacon），是“Cobalt Strike”进行渗透测试的主要功能。

被入侵的设备利用DNS请求将“信标”发送给指挥与控制的域名服务器，DNS响应通过“信标”通知被入侵的设备进入休眠，或连接指挥与控制的域名服务器下载任务，以及获取如何执行任务的指令。

请注意，目前的主流防病毒（AV）系统检测，往往忽略了入侵渗透。“Cobalt Strike”为规避检测所采用的主要是两种技术：⑴ 可移植的恶意代码（shellcode）；⑵ 利用域名应用数据，形成可塑的指挥与控制（malleable C2）。

其中，DNS“信标”渗透测试方式被黑客所采用，部署指挥与控制的域名服务器，注册一系列虚假子域名作为“信标”，与其他攻击工具结合，形成持续的入侵攻击链（或应用供应链）。“太阳风”网管软件漏洞安全事件是一个典型案例。

三、微软对“太阳风”漏洞的深入分析

微软公司的深入分析和研究报告指出，对“太阳风”网管软件漏洞的调查仍在继续挖掘新的细节。基于对威胁数据的分析和研究表明，在安全漏洞背后的攻击者是熟练的战役策划人员，他们精心计划和实施攻击，保持持久性的同时继续递进渗透。同时，揭示了入侵链（或供应链）中的指挥与控制（C2），以及在线专业手动攻击的能力和趋势，证明这是近十年来最复杂和持久的入侵攻击之一。

该报告对网信入侵和攻击的“战术、技术和过程”（TTP，Tactics，Techniques，Procedures）相关方式及方法，归纳如下：

1）网信入侵攻击链与战术、技术和过程

洛克希德•马丁公司2010年10月提出的网信“入侵攻击链”（Cyber Kill Chain，又称为是攻防链），经过不断完善，成为常规性规范。其中七个环节中的每一个环节都包含战术、技术和过程（TTP）。

在“太阳风”网管软件漏洞中的入侵攻击链如图2：

其中：

● 战术：通过可移植的恶意代码（shellcode），在动态链接库文件（dll）和可执行文件（exe）中植入后门或恶意代码。

● 技术：在网络、文件、注册、处理的阶段中运用或结合各种工具和手段，达到预期目的。例如，在图3中的阶段1和阶段7，分别利用DNS 的“域名生成算法”（简称DGA）以及加密的指挥与控制（HTTPS C2）。

● 过程：通过后门窃取目标数据和情报。包括：通过DNS建立连接，生成、植入和删除文件，指挥与控制，窃取情报等操作。

2）指挥与控制进和在线专业攻击

“太阳风”安全事件被认定是精心策划的战役行动，具备熟练的指挥与控制技能，如图3：

其中，在线“专业攻击”（hands-on-keyboard attack），指的是由黑客亲自动手入侵被攻击的系统，而不是依赖于自动执行任务的程序脚本，因而更为隐蔽，且（战役）行动规模大、持续时间长，使得有效的指挥与控制不可或缺。

3）对窃取和利用“Cobalt Strike”入侵渗透的测试发现，“太阳风”的后门（“独奏门”），被连接到经过修改的“Cobalt Strike”入侵渗透工具，并由此在动态链接库文件（dll）中植入恶意代码。

“Cobalt Strike”入侵渗透工具侧重于对未修补的漏洞和错误配置的测试，却被黑客所利用，而目前主流的防病毒（简称AV）系统却对此缺失检测能力。

四、入侵攻击链与供应链

“太阳风”安全事件的持续时序和入侵攻击链以及在线专业（手动）方式和方法，使得这次战役行动的组织与协调、指挥与控制的复杂性和持久性，令人震惊。同时也警示，这不是第一次（可能存在未知），也不会是最后一次，而是代表了网信领域安全与防御长期斗争的趋势。

“Cobalt Strike”渗透测试工具的开发目的，本是用于安全防御“生成与对抗”的评估和能力提升，却被黑客所利用，且缺失防范。尤其是被作为网信入侵攻击链中的指挥与控制的DNS“信标”，却是“Cobalt Strike”对抗渗透的测试工具的主要功能。由此，入侵攻击链与应用供应链是并存和依存的关系，如图4：

换句话说，从对入侵攻击链的来龙去脉研究，以及战术、技术和过程的分析，有助于发现应用供应链中未知的、潜在的风险和隐患。反之，从对应用供应链的侦测和渗透，能够获得入侵和攻击的精准、降维定位。

另一方面，在开放、共享、创新的信息环境中，供应链对正常的研发、集成和应用必不可少，同时对攻防链也是不可或缺。其中，在网信空间的“武器化”没有明确的边界或界限，即任何技术和工具都不是中立的，既可以“载舟”，亦可以“覆舟”。

五、入侵攻击链的指挥和控制

从图1、图2、图3可见，不论是对抗性的渗透测试工具“Cobalt Strike”，还是“太阳风”的后门“独奏门”（Solorigate），DNS“信标”（Beacon）被作为是入侵指挥与控制的载体。

特别是在图1中，入侵和攻击的指挥与控制域名服务器，可以与递归域名解析服务器并列（混用），或（伪装）作为是公共域名服务器而难以区分真假。

根据持续的实时统计（2021-1-24/00:16，仅限于端口53和运行UDP协议），全球共有1,926,062台公共域名服务器。其中：

中国（大陆）的公共域名服务器在全球数量中占比38.8%，且这个比例是在动态变化。例如：2020年10月22日的数量为1,106,552台，占全球总数的46.2%。

不得不面对不可否认的严峻事实：中国（大陆）域名空间的入口是完全敞开的，处于良莠不齐的混沌状况和监管缺失的状态。如果其中有被作为DNS“信标”的入侵指挥与控制，实难以发现。

2021年1月14日，美国国家安全局（NSA）发布一份网信安全指南：“在政府部门网络中采用加密的DNS”。其中要求，政府部门的局域网络必须应用指定的域名递归解析服务器，并强制性禁止使用公共域名服务器，从信息通信技术及服务（ICTS）供应链的“最后一公里”，切断DNS“信标”作为入侵指挥与控制的连接。

简化的信息通信技术及服务（ICTS）供应链如图5 ：