客户关于近期国家级网络攻击的指导 | MSRC博客
微软安全响应中心
注意:本文发布时间已超过一年,部分信息可能过时。我们将根据调查进展持续更新(修订历史见文末)。
本文提供关于疑似参与近期国家级网络攻击的行为者的技术细节,旨在帮助安全社区检测网络中的相关活动,共同防御这一高级威胁行为者。微软产品防护和资源部分提供了更多调查更新、指导和已发布的防护措施。
攻击技术摘要
攻击者通过以下技术链实施入侵(并非所有攻击均包含全部环节):
- 通过SolarWinds Orion产品的恶意代码实现初始入侵:攻击者获得网络立足点并提升凭证权限。Microsoft Defender已提供相关文件检测(参见SolarWinds安全公告)。
- 利用本地权限提升至全局管理员账户/SAML令牌签名证书:攻击者伪造SAML令牌,可模拟组织内任意用户(包括高权限账户)。
- 异常登录与权限滥用:使用伪造的SAML令牌访问本地和云资源,并通过添加凭证到现有应用/服务主体调用API。
活动详细分析
初始访问
攻击者可能通过入侵SolarWinds内部构建或分发系统,将后门代码嵌入合法库文件SolarWinds.Orion.Core.BusinessLayer.dll,并通过自动更新平台分发。具体入侵方式尚不明确。
执行过程
- 更新SolarWinds应用时,后门代码先于合法代码加载,规避用户怀疑。
- 攻击者使用目标公司数字证书签名恶意库,绕过应用控制技术(微软已将这些证书从信任列表中移除)。
- 恶意DLL从SolarWinds安装目录加载,主植入程序安装为Windows服务及DLL文件,路径包括:
%PROGRAMFILES%\SolarWinds\Orion\SolarWinds.Orion.Core.BusinessLayer.dll%WINDIR%\System32\config\systemprofile\AppData\Local\assembly\tmp\<VARIES>\SolarWinds.Orion.Core.BusinessLayer.dll
- 恶意代码仅在
SolarWinds.BusinessLayerHost.exe进程上下文中激活。
命令与控制(C2)
恶意DLL通过域名avsvmcloud[.]com与远程基础设施通信,用于投递第二阶段载荷、横向移动和数据窃取。微软将主植入程序及其组件检测为Solorigate。
目标行动
权限获取方式
- 使用被盗凭据获取管理权限。
- 通过入侵SAML令牌签名证书伪造令牌(常见工具访问SAML联合服务器数据库)。
- 证书通常存储在SAML联合服务器上,管理员权限可直接访问。
长期访问维持
- 修改联合信任:添加新信任或修改现有信任属性,以接受攻击者证书签名的令牌。
- 滥用OAuth应用与服务主体:
- 向合法应用添加凭据(x509密钥或密码),获取
Mail.Read/Mail.ReadWrite权限。 - 通过Microsoft Graph或Outlook REST读取Exchange Online邮件内容(例如邮件归档应用)。
- 可能额外授予应用权限(如
Mail.ReadWrite)。
- 向合法应用添加凭据(x509密钥或密码),获取
数据访问
- 使用伪造的SAML令牌访问用户文件/邮件。
- 通过VPS提供商服务器定期连接,模拟应用/服务主体访问特定用户(常针对IT和安全人员)邮件。
- 访问隐藏在正常流量中,需假设通信已被窃取。
推荐防御措施
- 运行更新的防病毒/EDR产品:检测受损SolarWinds库和异常进程行为。考虑禁用SolarWinds直至确认版本可信。
- 阻断已知C2端点:使用网络基础设施拦截IOCs列表中的域名。
- 保护SAML令牌签名密钥:
- 遵循身份联合技术提供商的最佳实践。
- 支持时使用硬件安全模块(HSM)。
- 对于ADFS,参考微软建议。
- 强化管理员账户:
- 使用特权访问工作站、JIT/JEA和强认证。
- 减少高权限角色(如全局管理员)成员数量。
- 安全管理服务账户:
- 使用高熵密钥(如证书)并安全存储。
- 监控密钥变更和异常使用。
- 减少攻击面:
- 禁用未使用的应用和服务主体。
- 限制活跃应用的权限(特别是应用仅权限)。
- 参考保护Azure AD身份基础设施获取更多建议。
微软产品防护与资源
- Solorigate资源中心(2020年12月21日更新)
- 事件响应者从系统性身份泄露中恢复的建议
- 保护Microsoft 365免受本地攻击
- 分析Solorigate及Microsoft Defender防护机制
- Microsoft Defender阻断检测
- 客户防护重要步骤
- Trojan:MSIL/Solorigate.BR!dha威胁描述
- Azure Sentinel入侵后狩猎
- Microsoft 365 Defender狩猎查询
- 统一审计日志(UAL)检测与狩猎
- 反思时刻:全球网络安全响应的必要性
若组织可能已受感染,建议全面审计本地和云基础设施(包括配置、用户/应用设置、转发规则等),移除用户/应用访问权限,并重新颁发强凭据。
危害指标(IOCs)
命令与控制
| 域名 | 类型 |
|---|---|
| avsvmcloud[.]com | C2通信 |
恶意SolarWinds.Orion.Core.BusinessLayer.dll实例
| SHA256哈希 | 文件版本 | 首次出现时间 |
|---|---|---|
| e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d | 2020.2.100.11713 | 2020年2月 |
| a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2 | 2020.2.100.11784 | 2020年3月 |
| …(完整列表参见原文) |
修订历史
- 2020-12-21:添加Solorigate资源中心链接
- 2020-12-21:添加DART博客链接
- 2020-12-18:更新微软产品防护和资源链接
- 2020-12-17:添加Azure Sentinel博客链接及更多恶意实例
- 2020-12-16:更新Azure Sentinel检测链接
- 2020-12-13:首次发布