事件概述:

12月13日,美国顶级安全公司FireEye(火眼)发布报告称,其发现一起全球性入侵活动,该APT组织通过入侵SolarWinds公司,在SolarWinds Orion商业软件更新包中植入恶意代码进行分发,FireEye称之为SUNBURST恶意软件。该后门包含传输文件、执行文件、分析系统、重启机器和禁用系统服务的能力,从而到达横向移动和数据盗窃的目的。

SolarWinds是国际知名网络运维和安全公司,旗下 Orion Platform 是一个强大、可扩展的基础架构监视和管理平台,它用于以单个界面的形式简化本地、混合和软件即服务 (SaaS) 环境的 IT 管理。

1612760943507824.png

SolarWinds的系统被攻击之后,多个美国政府部门及多家财富五百强企业纷纷确认受到攻击影响或检查出系统中存在木马化的 SolarWinds Orion 软件。已导致全球许多组织的网络遭到破坏,由于SolarWinds相关软件用户群体庞大,供应链攻击扩散属性强并可长期潜伏于目标系统,预计此次事件的蝴蝶效应将持续发酵,涉及的供应链范围极为广泛,被称为2020年美国最大网络安全事件。


此次攻击重点:

攻击者将恶意代码插入到:SolarWinds.Orion.Core.BusinessLayer.dll中。

该代码库属于SolarWinds Orion平台。攻击者必须在此DLL组件中找到合适的位置来插入其代码。理想情况下,他们会在定期调用的方法中选择一个位置,以确保执行和持久性,从而确保恶意代码始终处于运行状态。如此合适的位置原来是名为RefreshInternal的方法。

在单个DLL文件中添加一些看起来不错的代码行,对使用受影响产品的组织构成了严重威胁,该产品是包括政府和安全行业在内的垂直行业广泛使用的IT管理软件。插入DLL的谨慎的恶意代码称为后门,该后门由近4,000行代码组成,这些代码使攻击背后的威胁行为者能够在受感染的网络中不受限制地运行。

漏洞文件经过数字签名的事实表明,攻击者能够访问公司的软件开发或发行管道。有证据表明,早在2019年10月,这些攻击者就一直在测试通过添加空类来插入代码的能力。

1612761024491800.jpeg

图:供应链攻击路径图


因此,本次事件中黑客组织通过攻击SolarWinds厂商,可能很早就将恶意代码插入:SolarWinds.Orion.Core.BusinessLayer.dll。

即在软件构建的最后阶段之前,包括对已编译的代码进行数字签名。结果,包含恶意代码的DLL也进行了数字签名,从而增强了其运行特权操作的能力,加密了其攻击通信流量,绕过了各安全厂商的攻击检测。

据亚利桑那大学开发过许多加密产品的Chet Hosmer教授介绍,SolarWinds最大的问题是其软件签名过程的妥协,因为这是它与客户的“信任点”。加密密钥管理需要非常严格的程序和控制措施,以确保密钥不被泄露。如果攻击者获得了对私钥的访问权对于软件供应商,他可以使用它来签署更新,用户会认为更新是合法的,因为公钥和私钥将匹配。

1612761100180064.jpeg

图:此次攻击涉及的代码签名相关信息


VSignBox产品软件供应链攻击预防:

类似SolarWinds事件的特定攻击中,最大的预防措施可能是保护用于对代码进行签名的加密密钥,以在整个签名过程中提供安全。这将保护软件的完整性——确保只签署预期签署的代码——并拒绝执行不良行为。如果签名过程被颠覆,则优先级将尽快成为识别违规者,以限制损害。供应链攻击事件的根本解决方案是做好完备的预防机制,而不是事后出补丁。


① 使用硬件安全模块 (HSM) 实现强大的信任根:

契合点为VSignBox是一款“签名即服务”的代码签名服务系统,保护您因代码签名管理不善而造成的重大财务损失以及品牌损害。您完全不必担忧代码可见性,敏捷性和可信赖的安全性。我们在高度安全的加密设备内保护您的密钥。您可以轻松解决跨部门和地区的多人签名的需求。私钥零接触,与代码签名或程序包签名证书关联的所有私钥都不会暴露给正在执行签名的过程,充分保障私钥安全性。托管服务中的安全密钥使用基于服务端的密钥管理和应用程序的代码签名。让开发人员轻松简单从一个控制板即可搞定。


② 通过定期审核应用强大的策略控制:

我们需要一套审计系统记录每一次签名:谁、什么时候、签了什么文件。而分散的部门和机构导致操作员的身份很难被验证,怎么证明签名者是谁呢?用账号密码吗?在我们的场景中需要一套更加安全可靠的鉴权方式:不可复制、抗抵赖、与通用系统集成使用的便利性。


契合点如下:

★ 基于角色的访问控制,使用 PKI 强身份认证技术

★ 使用审计日志和报告跟踪您签名的代码和活动,以确保问责制和合规性

★ 内置木马查杀服务

★ 提供对所有代码签名活动、密钥安全状态、完整报告和审计的详细了解


1612761217624942.png

VSignBox 系统拓扑图


VSignBox代码签名服务提供:

 统一的代码签名管理服务

 基于角色的访问控制,使用 PKI 强身份认证技术

 跨平台签名服务,支持多种文件格式

 提供 CI / CD 服务器的命令行界面

 轻松更新过期的代码签名证书

 内置多品牌时间戳服务(包含 RFC3161 和 MS Authenticode)

  支持双签名,兼顾安全性和兼容性,支持 Windows7、XP 系统

 突破 Windows 2G 大文件签名的限制

 支持多组 UKEY 的集中管理

 使用审计日志进行问责制和合规性报告

 内置木马查杀服务

 支持远程证书映射

 Web 管理



结  语:

身处数字时代,面对防不胜防的数据风险,企业更加应当未雨绸缪,选择全面防护的数据保护方案。只有这样,企业才能把主动权把握在手中,为数据驱动价值构筑安全防线。

通过SolarWinds供应链攻击事件,可以看到VSignBox提供完整的私钥安全轮换管理机制,有效地解决在某些环节上的预防、缓解和阻断黑客攻击的问题,为软件开发部署的安全性提高到一个新的高度。




1612761293510428.jpg