丈八网安：复现SolarWinds攻击事件场景 助力供应链安全防护新实践

2020年年底，全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击，发布了关于SolarWinds供应链攻击的通告，通告中表明基础网络管理软件供应商SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，并将SolarWinds Orion 软件更新包中被黑客植入的后门命名为SUNBURST，与之相关的攻击事件被称为 UNC2452。

SolarWinds的系统被攻击之后，涉及范围极广，导致了多个美国联邦政府机构（包括政府部门、关键基础设施以及多家全球500强企业）的网络遭受入侵。该事件堪称美国历史上最为严重的安全事件，尽管已经过去了3年多时间，其影响依旧十分深远。

据了解，SolarWinds 供应链攻击事件是一起技术水平极高、隐蔽性极强 且经过了长期筹谋的网络攻击行动，攻击者所设计的攻击思路十分隐蔽巧妙，在编码上习惯上仿照了SolarWinds的编码方式与命名规范等，成功绕过了复杂测试、交叉审核、校验等多个环节，同时触发条件十分苛刻，有效避免了被沙箱等自动化分析工具检出。

在该事件中，攻击者获取外网权限之后，其组织花费了大量时间和精力进行了非常隐蔽的内网横向渗透，对内网网络拓扑及源码编译服务器进行了充分的信息收集，最终获取到了SolarWinds源码构建服务器的全部权限。攻击者通过对Orion的源码进行篡改将后门写入代码中，该文件具有合法数字签名伴随软件更新下发，通过该后门，攻击者可以与被感染的系统进行隐蔽通信。可以畅通无阻地访问内部网络，具备长期的匿名网络接入能力，以及越过内部安全等级防护的权限，从而达到长期控制目标、窃取核心数据的目的。

综合分析该事件过程，从攻击思路的设计，到攻击链路的搭建，到高技术难度工具的开发，从前期深入的渗透，到最后对特定目标的攻击，不难看出其背后的 APT 组织经验丰富，具有高度的耐心与纪律意识，攻击协同达到了很高的水准。

由于SolarWinds供应链攻击事件影响范围广、潜伏时间长、隐蔽性强、复杂程度高，且波及全球多个国家和地区的 18000 多个用户，可以说该事件对全球网安全防御体系而言都具有极大的冲击性，因此，对于防御方而言，只有足够了解攻击过程，才能有针对性地扩宽自身的检测点，挖掘更深层次的隐藏手段。

而防御方要提升攻防能力，就需要大量实战经验的累积，这也是网络靶场的核心价值之一，它可以直接将安全能力“传递”给企业端防护人员，即：将人、攻防工具、贴近真实的实战场景融为一体，在网络靶场中通过在不同场景中的实战训练能有效提升技术人员对攻击事件的理解深度与技术能力，从而帮助企业构建更为坚实的安全防护保障。

近期，来自丈八网安的网络安全攻防研究团队——蛇矛实验室，依托原生靶场平台“火天网境”，搭建了SolarWinds供应链攻击事件中的网络环境，以攻击者的视角对其攻击链路与隐藏技术进行了复现，提供了供应链入侵所需的攻击，通过对上游厂商的渗透，完成了对其下游大量用户的控制，展现了攻击者旁路入侵技术。

蛇矛实验室将整个攻击链路复现过程分成了两个阶段。

第一阶段为模拟对上游厂商进行攻击，通过制作代码注入工具包，生成恶意代码植入器，将生成好的代码植入器植入供应链上游厂商的编译服务器，该服务器在编译程序时，就会将恶意代码编译到程序中，并携带该厂商的签名。

图：红色箭头为第一阶段；蓝色箭头为第二阶段

第二阶段模拟对供应链下游客户攻击。在solarWinds攻击事件中，大约1万8千家用户安装了含有后门的Orion网管软件更新包，攻击者并没有入侵所有的公司，而是有计划的挑选了50多家主要公司单位进行内网横向渗透。因此，在拓扑环境中选取了“高资产机器”、“低资产机器”及“高资产但是具有安全设备”三种典型设备场景，以模拟更加真实的供应链下游业务环境以及对被攻击对象的精准筛选过程。手动触发恶意代码后，攻击中使用dga通信，受害机将机器的环境信息加密后，作为DNS解析的子域传递给DNS解析服务器；DNS解析服务器有解析工具将子域中的信息解密，并根据解析的信息，决定是否上线。

值得一提的是，SolarWinds事件中，被植入的后门SUNBURST在攻击过程非常注重其隐蔽性，在与控制服务器通信时会利用DNS进行流量隐藏，区别于常规的DNS隧道技术，SUNBURST没有篡改正常DNS解析流程，而是通过域名自身携带的字符来传递信息，该攻击方式会让安全设备误以为SUNBURST在正常通信。蛇矛实验室在靶场中重点复现了这个场景，并且为了让用户更加真实地从攻击者的角度感受该攻击思路的巧妙之处，在虚拟的场景中将原本自动触发的、不可见的攻击过程做成了可以手动触发的，另外，也在演示环境中设置了弹窗显示攻击停止的原因，以演示不同资产环境下游厂商的差异。