网络安全和基础设施安全局(CISA)已经报道在SolarWinds Orion服务器上查找收集凭据的超新星网络外壳。这些观察结果是在一次事故响应过程中得出的高级持久威胁(APT)演员对企业网络长达一年的妥协。该组织在分析中警告说,这一妥协背后的威胁行为者“在同一时期针对多个实体”。
不是太阳风袭击的一部分
SUPERNOVA web shell由攻击者直接放置在一个托管SolarWinds Orion的系统上,被设计成SolarWinds Orion监控产品的一部分。因此,超新星是通过一个横向运动在一个网络内放置的,而不是被认为是太阳风供应链攻击. 据信,威胁参与者与臭名昭著的供应链攻击背后的参与者不同。
脉冲安全VPN
CISA发现,攻击者在2020年3月至2021年2月期间访问企业网络将近一年。根据其调查,威胁参与者通过脉冲安全虚拟专用网络(VPN)设备连接到实体网络。CISA报告称,它“不知道威胁行为人最初是如何获得这些证书的”,但巧合的是,就在两天前,我们详细介绍了多个证据脉冲安全漏洞它们在野外被积极利用,并可能利用这种攻击。
攻击者通过几个未启用多因素身份验证(MFA)的用户帐户向VPN设备进行身份验证,这些用户帐户能够伪装成合法的远程办公员工。
从那里他们横向移动到它的太阳风猎户座服务器,建立一个后门,让他们能够坚持,这样即使他们的初始入口关闭,他们也可以连接。
Web贝壳
Web shell通常是充当后门或攻击者第一个入口的小脚本。A.最小网壳可以这么简单:
< = $ _GET[1]的?>
像这样的shell将站在一个被攻击的服务器上,并简单地执行攻击者通过web URL发送的任何命令。SUPERNOVA web shell更复杂,是用。net而不是PHP编写的,但本质上没有什么不同。
它最初是通过一个PowerShell脚本安装的,隐藏在一个恶意版本的SolarWinds Orion Web应用程序模块中。它允许将c#源代码远程注入到由SolarWinds软件套件提供的web门户中。注入的代码被编译并直接在内存中执行。
收获凭证
这次行动的目标似乎是收集更多的证书。CISA报告称,威胁行为者能够通过两种方法从SolarWinds设备转储凭据:
- SolarWinds设备服务器和网络监控所使用的缓存凭证。
- 通过倾倒本地安全权限子系统服务(LSASS)内存。
缓存的凭据通常由加密保护,除非它们被标记为可导出。因此,要么是威胁参与者能够更改或绕过该属性,要么是受害者错误地将私钥证书标记为可导出。
攻击者在SolarWinds Orion服务器上放置了一个重命名的procdump.exe副本以转储LSASS内存。然后将凭据转储到文本文件中,并通过HTTP请求进行过滤。
CVE-2020-10148
公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。CISA认为列为漏洞CVE-2020-10148用于绕过对SolarWinds设备的身份验证。
SolarWinds Orion API易受身份验证绕过的影响,这可能允许远程攻击者执行API命令。此漏洞可能允许远程攻击者绕过身份验证并执行API命令,这可能会导致SolarWinds实例的泄露。SolarWinds Orion Platform version 2019.4 HF 5, 2020.2 with no hotfix installed, and 2020.2 HF 1受影响。
绕过身份验证将使他们能够以与SolarWinds设备运行时相同的权限运行命令,在本例中,这是系统。
建议
基于正在进行的调查结果,CISA建议所有组织实施以下做法,以加强其组织系统的安全态势:
- 检查使用另一个进程的哈希执行的公共可执行文件
- 实施MFA,尤其是特权帐户。
- 在单独的管理工作站上使用单独的管理帐户。
- 实施本地管理员密码解决方案(LAPS)。
- 实现数据访问的最小特权原则。
- 保护远程桌面协议(RDP)以及使用MFA和“跳转框”进行访问的其他远程访问解决方案。
- 在所有端点上部署和维护端点防御工具。
- 确保所有软件都是最新的。
- 保持最新的防病毒签名和发动机。
- 限制用户安装和运行不需要的软件应用程序的能力(权限)。除非需要,否则不要将用户添加到本地管理员组。
- 强制实施强密码策略并定期更改密码。
- 在配置为拒绝未经请求的连接请求的组织工作站上启用个人防火墙。
- 在组织工作站和服务器上禁用不必要的服务。
它还敦促SolarWinds Orion版本2019.4至2020.2.1 HF1的用户进行审查紧急指令ED 21-01以及SolarWinds Orion平台操作建议的相关指导。美国联邦机构被要求遵守这些指示。
大家注意安全!
评论