Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SolarWinds事件(SunBurst)のフォレンジック調査

SolarWindsの事件は、影響する組織が200以上とも言われ、どうやら2021年まで尾を引きそうです。関連する記事の中でReversingLabsの創設者TomislavPeričin氏の(現時点のける)フォレンジック調査記事が目を惹きました。

blog.reversinglabs.com

概要
IT監視および管理ソリューションを製造しているSolarWindsは、高度なサプライチェーン攻撃の最新の標的になっています。2020年3月から6月の間​​にリリースされた複数のSolarWindsOrionソフトウェアアップデートには、攻撃者が影響を受けるシステムで監視を実行し、任意のコマンドを実行できるようにするバックドアコードが含まれていることが判明しています。

このサプライチェーン攻撃の構造に関するReversingLabsの調査により、Orionソフトウェアのビルドとコード署名インフラストラクチャが危険にさらされていることを示す決定的な詳細が明らかになりました。影響を受けるライブラリのソースコードは、既存のソフトウェアパッチリリース管理システムを介してコンパイル、署名、配信された悪意のあるバックドアコードを含むように直接変更されました

ソフトウェアサプライチェーンに対するこの種の攻撃は決して目新しいものではありませんが、今回の違いは、攻撃者が可能な限り検出されないままであったステルスのレベルです。攻撃者は影響を受けるコードベースに溶け込み、ソフトウェア開発者のコ​​ーディングスタイルと命名基準を模倣しました。これは、Orionソフトウェアをそれを使用する組織のバックドアに変えるために追加された多数の機能を通じて一貫して実証されました。

(ReversingLabs記事より引用)※機械翻訳

 

キタきつねの所感

現時点においては、一般公開されている情報の中では最良の分析結果かと思います。エントリーポイント(初期侵入口)については、この分析には含まれていませんが、APT29(Cozy Bear)の犯行と言われる、APT攻撃の初期侵入以降の手口が良く分かる内容となっていますので、セキュリティ担当の方は読んでおくべき記事と言っても過言ではないかと思います。

 

特に印象深かったのが、攻撃側の痕跡を隠す部分(の詳細)で、今回の攻撃が、ソフトウェア開発者、セキュリティ分析者から攻撃を検知されない様に幾重にも隠ぺい工作がされている事がよく分かります。

先日書いた12/16記事に載せた図で言うと、今回の分析範囲は左下の部分です。

エントリーポイント(どうやってOrion Networkに侵入できたのか)については分析の対象外ですので、O365だったのか、GitHubの侵害(FTPパスワードの脆弱性含む)だったのかは未だに分かりませんが、これも今後調査が進むにつれてこの辺りも情報が出てくるかと思います。

f:id:foxcafelate:20201216112543p:plain


記事の図は、オリジナル記事を読んでもらった方が良いかと思いますので、フォレンジック調査の概要を、この調査記事を紹介していたSecurity Boulevard記事を元に書くと、 

・攻撃者は2019年10月にソースコード管理システムに侵入し、特定の期間にわたってバックドアを構築するための無害なコードスニペットを含むバージョン2019.4.5200.8890を改ざんしました。

・この最初のコード変更(良性ではありますが)は、明らかに概念実証にすぎませんでした。彼らのマルチステップアクションプランは次のとおりです

ソフトウェア開発プロセスに溶け込む(状況認識)
-良性のコードスニペットをパッチとして挿入する(最終的には複数のチェックインとパッチにわたってバックドアに追加される)
-パッチ/コミットするかどうかを確認する検出されない(ピアコードレビュー、セキュリティ分析、監査などの調整)
ビルドシステムの侵害(ビルド操作の整合性の調整)
-署名されたパッケージが期待どおりにクライアント側に表示されることを確認します(サプライチェーンの到達可能性を判断します)
-影響を受けるライブラリのソースコードは、既存のソフトウェアパッチリリース管理システムを介してコンパイル、署名、配信された悪意のあるバックドアコードを含むように直接変更

(Security Boulevard記事より引用)※機械翻訳

 

が把握しておくべきポイントかと思います。

 

ReversingLabsの記事を引用しようとすると、引用の範疇を超えて全文を拾ってきてしまいたくなるので、少し(3か所程)を拾ってご紹介します。

FireEyeやMicrosoftが言う、10年に1度のAPT攻撃手法について、この記事を読むだけでも勉強になる部分も多いと思いますので、是非元(英語)記事をご覧になる事をお勧めします。

 

f:id:foxcafelate:20201227092913p:plain

f:id:foxcafelate:20201227093108p:plain

f:id:foxcafelate:20201227093206p:plain

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

事故調査官のイラスト

 

更新履歴

  • 2020年12月26日 AM