八卦讨论一下SolarWinds等的网络安全事件



     第一个原因是为什么要解读八卦,网上已经有太多的文字和情报,不胜枚举。让我们看看我

所见过的一些不引人注意的细节。
SolarWinds的内部股票交易披露了这一事件之前的异常情况

。SolarWinds董事会于11月19日出售16.61万股股票,12月8日出售14.45万股,主要股东出售

。这表明,公司高层可能在11月之前就已经知道了此次袭击。由于了解到近期可能会公布的事

件,所以提前抛售部分股票,以防股价下跌过猛,结果显示,12月13日事件曝光后,公司股价

从24块跌至18块。Firefox首先给出了事件分析报告,并在报告的最后向微软表示感谢,说此次

攻击是由Firefox与微软团队一起进行的,因此微软随后也公布了安全报告,一切正常。Firefox

和微软的报告指出,攻击最早发生在2020年春季/2020年3月,360的揭秘报告则从样本级别追

溯到2019年10月,因此这次攻击实际上是跨两年进行。
 
 
时至今日,SolarWinds公司宣布最后一个有问题的版本将持续到2020年6月,也就是说,攻击

发生在2019年10月至2020年6月之间,而安全公司并未发现异常情况。而实际上真正的安全漏

洞发觉攻击的时间窗口期,实际上只有2020年7月到2020年11月的4个月时间节点。当攻击在4

个月内被发觉时,美国国土安全局确实可以提前停止攻击,但是事实上,直到2020年12月14日

,美国还公布了紧急指令,因此,这实际上是一个延迟的安全响应处理。万事皆防备滞后,美

国如此强大的网络安全力量,不能及时抓住对自身影响如此巨大的攻击也是一件难事。
 
 
再次看看这次攻击的opsec手法,Freddie和微软的报告并没有给攻击者提供opsec的详细信息

,只给了一个带有探测过程、服务的简述,这也只是这个组织opsec对抗的一个角落,并非一

个完整的画面。这个关键分析来自于360的揭秘报告,截取了该报告所引用的环境对抗检测的

一部分,可以看出,热火朝天的两个抓APT的大厂CrowdStrike和Fireeye,的确在为为何Crow

dStrike不发声而烦恼。攻击手肯定研究过各个安全大工厂的产品,都有精巧的攻防对抗策略,

这里面的细节和斗争是无法再现的。就连Fireeye之前公布的自个被入侵的公告,也大部分是

在说攻击者是在对Fireeye下手。因此Fireeye或许有一个天然的优势,先自个找找自个被搞,

然后带着那么多用户能查到,才能先曝光这一行动。
 
 
当然还有许多后知后觉的发觉,根据外界的报道,volexity在12月14日也公布了一份报告,其

中将于2020年6-7月间发觉对于用户Exchange邮件服务器的攻击关联起来,这毫无疑问是马

后炮,而且Volexity也是睁眼的,在没有Volexity提供的情报的情况下,它还犯下了发时滞问

题,这表明Volexity在这以前没有任何情报能够串连SolarWinds供应链事件。接着,avsvmcl

oud.com这个C2,孤零零地挂着2019年7月19日的更新记录,而微软的接管时间是2020年12

月14日,这次攻击影响如此巨大,如果能在这次攻击之前几个月发觉,那么这次C2接管会不

会拖到一年后的12月?总而言之,当美国拥有了众多的顶级安全厂商,也只能眼睁睁地看着

众多的核心机构被国家APT组织入侵,经过两年的时间才被发觉处理,那可不是好消息,而

是一声长鸣。
分享: