SolarWinds漏洞：为什么今天您的工作计算机出现故障

昨天下午，信息安全新闻周期进入超速运转状态。首先，路透社透露，商务部和财政部遭受了重大入侵。 《华盛顿邮报》很快跟进，有多个消息来源将这次袭击归因于俄罗斯外国情报部门，即SVR，特别是SVR的一部分，称为Cozy Bear，尽管目前尚无官方归因。在几小时内，FireEye和Microsoft宣布这是涉及SolarWinds Orion软件的“供应链攻击”，并且网络安全和基础架构安全局（CISA）发布了紧急指令。今天，事实证明，攻击者还破坏了国土安全部。 SolarWinds向美国证券交易委员会（Securities and Exchange Commission）透露，该违规行为可能影响18,000个客户。

发生了很多事情，因此这里有一份快速指南，适合希望了解最新消息的读者。

SolarWinds Orion是SolarWinds网络和计算机管理工具套件的一部分。管理大型网络的最大问题之一是规模：网络可以具有数十台关键计算机，以及总体上数百甚至数千台计算机。 SolarWinds解决方案套件不仅包括监视功能，以便用户可以告诉关键计算机何时停机，还包括自动重启服务的功能。结果，该软件可能会安装在企业中最关键的系统上，这些系统会在出现故障时阻止完成工作的能力。

看起来，在2020年3月，有人设法在构建过程中修改了SolarWinds Orion软件，该过程是翻译人类可读代码并将其合并为计算机可以执行的形式的过程。此时间基于Microsoft和FireEye分析，以及受SolarWinds影响的报告版本。

此修改包括一个复杂且隐秘的特洛伊木马程序，旨在远程控制安装了SolarWinds Orion的任何计算机。当客户安装最新更新时，特洛伊木马程序将开始在受害者的计算机上运行。这被视为软件“供应链攻击”：预定的受害者直接或间接从SolarWinds接收了Orion软件的污染副本。

该木马本身是FireEye和Microsoft分析的复杂而隐秘的后门。尽管该程序产生了一些迹象表明计算机是否已被感染，但它首先要等待12到14天才能采取任何措施-一段安静的时间来阻止分析，因为恶意有效负载甚至无法在计算机运行之前启动需很长时间。然后，它开始询问命令和控制服务器。再次，该例程包括检查以阻止分析。

只有这样，特洛伊木马才会开始与属于攻击者的远程服务器通信，并且这种通信伪装成看起来是由良性自动化工具生成的正常类型的Web流量。从那里，攻击者现在可以有效地完全控制受害计算机，包括安装其他软件和执行其他任务的能力。

这是攻击者获得额外功能的地方。身份验证服务器和Active Directory服务器必须保持正常运行，才能使企业正常运转。这些服务器非常重要，因为它们可以识别其他系统的用户，说出用户具有访问数据以及更改其他计算机配置的权限。攻击者可以使用这些功能在整个受害企业中移动，获得控制权，创建新帐户并访问所需的任何数据或资源。

这将使攻击者成为具有几乎无限范围的“授权”用户，并有效地出现在受害者网络中的任何位置。显然，攻击者似乎使用了这些功能来创建新帐户并安装新的远程控制软件。微软对攻击者行为的分析表明，即使删除了SolarWinds后门，攻击者仍可能在整个目标网络中保持访问权限。

CISA命令所有运行Orion软件的非军事政府系统都必须停止运行该软件，并且至关重要的是，必须在今天中午之前将这些计算机与网络的其余部分断开连接。这只是补救过程的第一步，网络管理员将通过补救过程来恢复操作。

但是，攻击者根深蒂固地进入网络的能力进一步放大了那些重建网络的人所面临的问题。如果SAML（用于联合身份验证的协议）或Active Directory（用于管理Windows网络的工具）服务器受到影响，则攻击者很有可能会利用最初的入侵手段将其传播到整个网络。

这意味着不止几个网络将不得不采取严厉措施。引用电影《外星人》的话：“起飞并从轨道上对整个场地进行核对，这是唯一可以确定的方法。”也就是说，他们将需要从头开始，方法是重新安装系统，然后重新添加授权用户，而不是尝试确保成功删除所有攻击者帐户。

如果您在政府或私营企业中工作，而这些企业必须担心间谍活动，并且由于“网络中断”而无法做任何工作，这可能就是原因。运行Orion的系统是实际完成工作的最重要的计算机。毕竟，如果它们不是重要的计算机，则不需要自动监控。因此，断开所有重要的，需要有效监视的计算机将关闭整个企业。

现在已正式取消三组圣诞节。首先是为可能受此漏洞影响的18,000个SolarWinds客户工作的IT人员，他们将不得不在接下来的几周内重建他们的网络，并用细齿的梳子梳理所有东西，以寻找各种后门。整理这将是很多工作。唯一的好处是，大多数客户没有后顾之忧，因为攻击者面临的最大问题就是目标丰富的环境。尽一切努力进行开发都会增加发现风险，最后，只有少数人可以进行这些攻击。

第二类是美国情报界。 该攻击于3月开始，4月开始首次攻击。 他们要么不知道这一点（“前卫”哲学的失败），要么他们知道了这一点，在这种情况下，他们也无法前卫。 情报界将需要在内部回答一些棘手的问题。 最后一组是俄罗斯政府。 这是一个非常有价值的情报摘要，它捕获了过渡之前的美国政府沟通以及对美国财务控制的关键见解。 现在，饲料已经变得黑了，俄罗斯失去了巨大的资产。 但是再说一遍，这些都是一堆俄罗斯间谍，所以用每个sysadmin的不朽词汇来说：“ fsck那些家伙”。