2020年11月底，FireEye的審查員在內部安全日志審計中發現一條安全警告：一位員工注冊了一個新的手機號碼接收雙因素認證驗證碼。然而據該員工反饋，這段時間并未在系統中注冊新的手機號碼，FireEye 迅速組織團隊開始徹查。

2020年12月13日，FireEye發布了關于SolarWinds供應鏈攻擊的通告。通告中表明基礎網絡管理軟件供應商SolarWinds Orion 軟件更新包中被黑客植入后門，并將其命名為SUNBURST，與之相關的攻擊事件被稱為 UNC2452。

一、事件介紹

2020年12月14日，美國聯邦調查局（FBI）、國家情報局局長辦公室（ODNI）與美國國土安全部網絡安全、基礎設施安全局（CISA）聯合發布聲明——首次正式確認被黑客植入木馬的SolarWinds導致了多個美國聯邦政府機構（包括政府部門、關鍵基礎設施以及多家全球500強企業）的網絡遭受入侵。

FireEye研究團隊通過對UNC2452進行調查，發現攻擊者可能已獲取了SolarWinds內網高級權限。FireEye通過分析內部的 SolarWinds 軟件服務器，并未發現服務器上有惡意軟件的安裝痕跡，隨后又對服務器上的SolarWinds 軟件進行逆向分析，在其中一個模塊中發現了具有 SolarWinds 公司數字簽名的惡意代碼。

二、惡意程序分析

SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟件SolarWinds的數字簽名組件，其中包含了一個后門。通過該后門攻擊者可以利用HTTP與第三方服務器進行通信，并通過一系列時間校驗來判斷是否執行該惡意程序，同時通過校驗hash值來保證自身執行環境是否是真實的目標環境。

通過驗證當前進程名稱的hash值，以及驗證文件修改時間，若修改時間符合要求，則繼續檢查其默認配置項，通過讀取config文件中的字段來判斷是否執行該惡意程序。在完成一系列校驗后，利用DGA算法生成控制域名，根據控制域名解析請求返回CNAME域，繼續解析獲取真實控制IP地址；當控制域名解析出真正IP地址后，該惡意程序就會主動連接到控制服務器。控制服務器提供了功能全面的控制命令（包括任意啟動進程、執行下發的文件、設置注冊表項、獲取進程信息），據此實現攻擊。

此外，通過研究發現該惡意程序還可以提供等待時間調整接口，在被監測到異常行為后攻擊者可以選擇長時間靜默，進而躲避監測，降低暴露的可能性。

三、"SolarWinds"事件特點分析

（一）技術水平極高

本次攻擊者選擇的攻擊武器設計思路隱蔽巧妙，在編碼上高度仿照了SolarWinds的編碼方式與命名規范等，成功繞過了復雜測試、交叉審核、校驗等多個環節，同時觸發條件十分苛刻，有效避免了被沙箱等自動化分析工具檢出。

SolarWinds在其安全警報中明確指出：這種攻擊是一種極有針對性的、手動執行的攻擊，而不是廣泛的、系統范圍的攻擊。

（二）深度的滲透工作

攻擊者將后門寫入代碼中，與被感染系統進行隱蔽通信，利用該后門，攻擊者可以不受限制地訪問SolarWinds軟件和分發機制。此外，攻擊者利用了名為Teardrop惡意軟件控制本地網絡，并以此為支點入侵受害目標，收集了大量的一手情報。

（三）有國家背景支持的APT攻擊

通過分析該攻擊事件，從攻擊鏈路的搭建，到高技術難度工具的開發，再到目標的確認，最后對目標進行深入的控制。整個攻擊活動從組織、規模、技術等多個方面綜合考慮，其攻擊組織必然是大規模的。

因此，從攻擊活動的開展、攻擊工具使用的技術以及攻擊過程中基礎設施的支撐來看，此次攻擊組織無疑是國家背景的網絡間諜組織。

據悉于2021年1月，白宮網絡統一協調小組（UCG）首次明確披露俄羅斯情報部門是此次事件的幕后黑手，并為此付出了極高的成本。

四、攻擊活動產生的原因

通過對此次攻擊事件的深度解析，軟件供應鏈攻擊作為一種新型威脅，具有威脅對象多、極端隱蔽、檢測難度大、涉及維度廣等特點，已成為國家級網絡間諜活動的重要選項，是最難防御的間諜活動之一。

（1）軟件供應鏈攻擊的防御研究處于起步階段

2017年微軟首次提出“針對軟件供應鏈的網絡攻擊”的概念。作為一種新的安全問題，目前還缺乏權威而準確的定義。相比于針對目標計算機系統的漏洞安全研究，針對軟件供應鏈安全的研究目前整體還處于提出問題或分析問題的起步階段，還沒有到解決問題的關鍵階段，在一定程度上還缺少直接的、有針對性、有價值的研究成果。

（2）暴露面增大

從軟件生命周期的角度分析軟件供應鏈攻擊，可以簡單抽象為軟件設計、代碼編寫到生成軟件的開發環節；軟件分發和用戶下載的交付環節；直至交付到用戶的使用環節；三大環節環環相扣，每個環節都面臨著安全風險。

（3）大量開源代碼的利用

由于開源代碼的便利性，在軟件開發過程中大量引入了開源組件，開源組件的使用數量呈指數級增長時所帶來的安全問題不容忽視。一旦其中一個環節出現了問題，就會導致所有使用該軟件庫的下游軟件均存在該漏洞。

（4）攻守不平衡

對攻擊方而言，只需找到軟件供應鏈的一個突破口便可入侵并造成危害，而防御方則需要對整個軟件供應鏈進行完備的安全防護，并保證整個軟件的全生命周期的安全性。

（5）補丁更新周期較長

從系統和軟件的漏洞公布，到設計補丁，最終測試并發布安全的新版本，需要經過較長的周期，而攻擊者根據漏洞生成攻擊向量的速度可能更快。

五、網絡間諜活動的啟示

第一，提高安全防護意識

各企業要加強軟件供應鏈攻擊風險防范意識。軟件研發機構需要在軟件安全質量的檢測與控制，以及軟件供應鏈各類渠道加強安全防范。

第二，建設防御體系

面對數量繁多、涉及領域廣泛、與用戶信息接觸最為直接的各類軟件產品，目前尚未形成一套防御理論完備、技術手段長久有效的軟件供應鏈防護體系，這將直接導致應對措施和機制缺失、檢測和溯源技術水平等跟不上。因此，我國需要建立完整有效的軟件供應鏈防護體系，以提高對于軟件供應鏈攻擊的防御能力。

第三，進行嚴格認證

面對此類問題，在軟件設計以及開發過程中可以加強賬戶驗證、令牌驗證等多種方式進行嚴格的驗證，確保訪問用戶的正確性。此外還需校驗訪問源，保證訪問源的安全性。

第四，從官方渠道下載補丁更新

在補丁更新過程中，要盡量選取官方發布的補丁。

國城科技09年至今，長期服務于國家安全，一直處于攻防實戰狀態，積累對抗經驗，形成自有的情報庫資源，實戰對手遍布全球。

總結

以上是生活随笔為你收集整理的【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。