Solarwinds供应链攻击武器SUNBURST和TEARDROP分析

1. 事件描述

2020年12月，FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。这次网络攻击具有一定程度的复杂性，导致外国政府迅速介入，这次攻击中的战术和技术细节非常出色。攻击者没有进行常规的网络钓鱼或者漏洞利用攻击，而是进行了精心设计的供应链攻击。在本文中，我们重点分析了Solarwinds供应链中使用的后门(SUNBURST)及其攻击载荷之一(TEARDROP)的一些功能，包括对SUNBURST的哈希编码字符串进行彻底的模糊处理以及对TEARDROP的控制流和解密方法的分析。

2. 技术细节分析

SUNBURST后门的技术细节已经被很多公司和组织分析透彻，这使我们可以专注于我们感兴趣的一个功能上进行深度分析，我们将分析后门精心设计的免杀方法。

SUNBURST所采用的规避技术在概念上类似于沙箱规避。沙盒规避的目的是确保恶意软件不会在检测恶意软件的虚拟机上运行。

后门文件的黑名单不是以可读字符串数组的形式给出的。而是将可读字符串替换为FNV-1a哈希值。通常的恶意软件都会采用此功能，，除了最近的一些恶意软件会使用FNV-1a，而不是SHA256和CRC32校验和，但这个后门厉害的地方在于它保持了代码合法性。

后门作者对仅将进程和服务列入黑名单并不满意，他们还将某些设备驱动程序和IP地址的整个范围列入了黑名单，通过将受感染机器的IP转换为域名，该功能用于将所有内部Solarwinds域都列入了黑名单。这告诉我们，不仅攻击者决定使用Solarwinds攻击Uber到达目标，而且还详细了解了Solarwinds内部网络的拓扑结构。总体而言，嵌入在SUNBURST中的哈希编码字符串列表是SUNBURST加入黑名单的200多个域。结果表明，即使是最先进，最顽强的攻击者也不认为自己是无敌的，他们相信自己足够立于不败之地。

可在Addeneum I中找到SUNBURST中包含的FNV-1a混淆字符串的完整列表。

毫无疑问，这种攻击是一项令人难以置信的大规模黑客技术成就。250多个组织被SolarWinds后门感染，其中一半在美国，在推送恶意代码时，他们确保遵循Solarwinds的编码约定;他们在其初始有效载荷中包含了“逻辑漏洞”，以将恶意活动从初始感染推迟整整两周，并进行动态分析。他们将横向移动限制为使用被盗但有效的用户凭据进行的合法操作。出于所有这些原因，值得注意的是，这种Übermensch层的攻击被用来部署TEARDROP，这仅仅是人为的恶意软件删除程序。

TEARDROP的控制流程非常简单，在服务执行期间调用DLL导出函数Tk_CreateImageType，该函数将JPEG图像写入当前目录，其名称各不相同;赛门铁克披露过upbeat_anxiety.jpg和festive_computer.jpg，FireEye披露过gracious_truth.jpg。在未经训练的人看来，这些似乎是人为命名的。但是更有可能是通过将两个硬编码单词连接在一起而在任意计算机上随机生成的，而该机器是用来编译该恶意软件的。

然后TEARDROP使用自制密码和硬编码密0x96钥执行解密。使用以下方法来实现该过程：

从较高的角度看，这就像某种自制PRNG，它决定每次使用哪个密钥字节。当动态运行时，生成的键索引可以简单地映射到0, 1, 2, ..., 149, 0,1,...等等。事实证明，这不是PRNG，而是对模运算的编译器优化实现。

一旦了解了优化，解密代码就等同于以下内容：

因此，原始加密是一个简单的XOR，然后还将每个密文字节与前一个密文字节进行XOR，没有人会随机针对内存中二进制Blob的Kasiski攻击，以期遇到XOR密文。

解密后的有效负载具有以下自定义header格式，其读取方式类似于正确的PE header：

第一幅图显示了在TEARDROP上找到的解密BEACON有效载荷的代码，第二幅图显示了一个已知BEACON样本的代码，PE的基本地址一样。

TEARDROP的BEACON有效载荷

CobaltStrike的BEACON(sha256：3cfbf519913d703a802423e6e3fb734abf8297971caccc7ae45df172196b6e84)

TEARDROP的构建方式摈弃了BEACON，它是Cobalt Strike附带的有效载荷。根据CobaltStrike网站的说法，BEACON的目的是为高级攻击者建模。它支持跨各种协议的网络横向移动，用于C2签入的“被动”和“主动”模式，以及可用于模仿其他恶意软件或与目标网络的合法流量融合的可配置C2通信方案。

3. 分析总结

如果我们在这次攻击事件发生后不得不做个总结，那就是“纵深防御”。似乎我们一直以来都是这样的陈词滥调，但它源于美国国家安全局(NSA)在2012年发表的一篇论文，其背后的原理是合理且相关的：不要将所有精力都花在建一堵墙上。没有完美的围墙，总有一天，有人会穿过这面墙。

通过分析SUNBURST和TEARDROP的二进制文件，我们了解到，即使这个非常成功的攻击也存在问题。为了确保这一点，必须创建大量的域和进程黑名单。

0x04 附录I：SUNBURST中包含的FNV-1a混淆字符串列表

本文翻译自：https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/

鸿蒙官方战略合作共建——HarmonyOS技术社区