俄罗斯“双熊”之“舒适熊”—— Cozy Bear APT组织供应链攻击活动分析

Cozy Bear又称为Nobelium(APT29),被认为与俄罗斯情报局有关,最早的活动可追溯至2008年,主要以搜集情报以支持外交和安全政策的决策。该组织的主要攻击目标为欧洲及北约成员国的政府部门。Cozy Bear的攻击工具拥有着出色的渗透能力,其常用工具包括各种Windows平台下的后门程序、信息窃取器以及鱼叉式钓鱼邮件。

一、SolarWinds入侵事件

SolarWinds入侵事件是一起典型的供应链攻击事件,Cozy Bear组织利用SolarWinds的产品作为入侵媒介,采用DLL劫持技术作为核心攻击手法,将SolarWinds产品中的动态库文件替换成攻击者修改后的恶意程序。

图 1.1 执行顺序(来自Microsoft)

攻击者通过对恶意DLL进行合法数字签名,再替换官方DLL文件,实现了绕过防御措施加载恶意DLL文件的攻击手段,让恶意DLL正常执行。

图 1.2 Solorigate后门的数字签名

当Solorigate后门成功被部署后,攻击者即可远程控制受害主机,不仅带来了潜在的风险,而且形成非常隐蔽的僵尸网络,具备向外发起DDoS攻击的条件,增加受害主机的网络负担。

二、Solorigate分析

该样本是一个基于C#开发的32位DLL文件,因需要被SolarWinds的官方程序加载,所以该样本没有做过多的加壳处理及混淆操作。

Solorigate后门修改了官方DLL文件中的BackgroudInVentory.RefreshInstance(),向此函数添加了try_catch_处理,并把恶意代码内嵌到try模块中,保证了恶意代码能够被运行起来。

该样本的主要功能集中在OrionImprovementBusinessLayer类中,当DLL被加载后,将会执行refreshInstance()函数,并创建新的线程运行相应的恶意行为。

样本会先进行运行环境的检测,当检测通过后,update()函数中的核心功能便会被执行:

1.利用DGA算法,获取C2服务器域名

2.使用https协议与C2通信

3.执行指令功能

三、总结

通常在构建软件时,你会从外向内考虑威胁模型,而不是由内而外。Solorigate事件提醒人们,未来软件供应链攻击的数量很可能会持续增加,尤其是该类攻击的成功性和广泛性有目共睹。企业作为软件的使用者,也应当开始考虑不仅仅将零信任网络原则和基于角色的访问控制应用于用户,还应当应用于应用程序和服务器。在将任何新的软件或技术部署到网络中时,公司应该扪心自问,如果产品因恶意更新而失陷,会有什么后果,并尝试实施控制措施以将影响降至最低。

附录A – 相关链接

https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/

附录B – 绿盟威胁情报中心NTI关于攻击组织画像

Cozy Bear(APT29)攻击组织画像

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

伏影实验室专注于安全威胁监测与对抗技术研究。
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。