siakin110605/SolarWinds-SUNBURST-Case-Study
GitHub: siakin110605/SolarWinds-SUNBURST-Case-Study
一份对 SolarWinds SUNBURST 供应链攻击进行全生命周期技术分析并映射 MITRE ATT&CK 框架的深度案例研究报告。
Stars: 0 | Forks: 0
# SolarWinds SUNBURST:供应链攻击案例研究
这是一份针对 2020 年 SolarWinds/SUNBURST 供应链攻击事件的深度技术案例研究。作为有史以来记录的最复杂的国家级网络行动之一,本案例研究涵盖了完整的攻击生命周期、其与 MITRE ATT&CK 的映射关系,以及它所暴露的检测失败和供应链安全教训。
## 目录
- [执行摘要](#executive-summary)
- [时间线](#timeline)
- [攻击概述](#attack-overview)
- [MITRE ATT&CK 映射](#mitre-attck-mapping)
- [影响](#impact)
- [经验教训](#lessons-learned)
- [报告与参考](#report--references)
- [许可证](#license)
## 执行摘要
2020 年 12 月,安全公司 FireEye(现为 Mandiant)发现了 SUNBURST,这是一个秘密植入到 SolarWinds 的 Orion IT 监控平台数字签名更新中的后门。攻击者最早在 2019 年 9 月就攻陷了 SolarWinds 的内部构建环境,并利用它将 Orion 更新木马化,随后这些更新在完全不知情的情况下分发给了大约 **18,000 个组织**,包括美国联邦机构(财政部、商务部、国土安全部、国务院、司法部以及五角大楼的部分部门)和主要的科技公司(Microsoft、Intel、Cisco、Deloitte)。
在这 18,000 个组织中,被高度确信归属于 **APT29("Cozy Bear")** 且与俄罗斯 SVR 有关的攻击者,挑选了大约 **100 个高价值目标** 进行更深度的渗透:横向移动、通过“Golden SAML”技术窃取凭证,以及窃取敏感数据和源代码。该行动在超过 **14 个月** 的时间里未被发现,很大程度上是因为恶意代码是通过每个安全工具都被设计为信任的渠道——合法签名的供应商更新——到达的。
本案例研究的核心教训是,供应链攻击是现代数字生态系统固有的漏洞。攻陷单个受信任的供应商就足以暴露数千个原本防御严密的组织。防范此类攻击需要从对供应商的隐式信任,转向在整个供应链中实现持续验证、透明度和共同责任。
## 时间线

| 日期 | 事件 |
|---|---|
| 2019 年 9 月 | 攻击者获得了对 SolarWinds 构建环境的初始访问权限 |
| 2019 年 10 月 | 注入无害代码进行试验,以在未被检测到的情况下测试该技术 |
| 2020 年 2 月 | SUNBURST 后门被植入到 Orion 构建版本中 |
| 2020 年 3 月 – 6 月 | 木马化且带有签名的 Orion 更新被分发给约 18,000 名客户 |
| 2020 年 3 月 – 12 月 | 对约 100 个选定的高价值目标进行主动利用 |
| 2020 年 12 月 8 日 | FireEye 披露其遭到入侵且红队工具被盗 |
| 2020 年 12 月 13 日 | FireEye 公开将其遭到入侵与 Orion 供应链攻击事件联系起来 |
| 2020 年 12 月 15 日 → | 确认更广泛的影响波及多个美国联邦机构 |
## 攻击概述
SolarWinds 公司的 **Orion** 平台被大约 33,000 家客户(包括政府机构和财富 500 强企业)用于网络监控,它以提升的权限跨越组织的服务器、网络设备和应用程序运行。这种广泛的市场渗透率和高权限的组合使其成为理想的供应链攻击目标。
一个结构性弱点导致了最初的入侵:SolarWinds 没有将其 IT 网络与其软件开发网络之间的身份验证分离开来,这违反了诸如 NERC CIP-005-6 等标准所要求的隔离措施。一旦进入开发环境,攻击者就在 Orion 的**构建过程本身**中注入了 SUNBURST,在编译器读取之前修改了源代码,因此没有在源代码仓库中留下任何痕迹。Kaspersky 的安全研究人员后来发现,SUNBURST 与之前已知的 **Kazuar** 后门之间存在代码相似性。

### 防御规避
SUNBURST 在安装后会保持 12-14 天的休眠状态,将其网络流量伪装成合法的“Orion 改进计划”协议,并使用混淆的阻止列表来检测和禁用以进程、服务或驱动程序运行的取证工具、防病毒软件和安全服务。
### 命令与控制
使用了两个渠道:一个是**域名生成算法 (DGA)**,构建了 `avsvmcloud[.]com` 的子域名,其中编码了受害者的身份,DNS 响应兼作“杀死开关”(特定的 IP 范围会终止恶意软件);另一个是 **HTTP 渠道**,通过隐写术将 C2 命令隐藏在旨在看起来像合法 SolarWinds 遥测数据的 JSON payload 中。
### 横向移动与凭证访问
高价值目标收到了额外的工具:**TEARDROP**,一个伪装成 JPG 文件的仅内存驻留的 dropper;**RAINDROP**,用于传递 Cobalt Strike BEACON payload;在某些情况下,还会窃取 ADFS token 签名证书来伪造 SAML token(**“Golden SAML”**),从而获得对 Azure AD 和 Microsoft 365 环境的访问权限。
### 收集与窃取
对于约 100 个深度渗透的目标,攻击者通过现有的 C2 渠道窃取数据,包括来自美国司法部、财政部和国土安全部数以千计的电子邮件,以及来自 Microsoft 的源代码/证书。
后来在同一个 Orion DLL 中发现了一个名为 **SUPERNOVA** 的独立且不相关的恶意软件,它是由另一个威胁行为者利用同一产品安装的;它不属于 SUNBURST/APT29 攻击活动的一部分。
## MITRE ATT&CK 映射
| 战术 | 技术 ID | 技术 | 在本次攻击中的应用 |
|---|---|---|---|
| 初始访问 | T1195.002 |危害软件供应链 | 构建过程被攻陷,Orion 更新被木马化 |
| 执行 | T1059 | 命令和脚本解释器 | 恶意逻辑通过受信任的、带有签名的 DLL 执行 |
| 执行 | T1553.002 | 代码签名 | 后门被封装在合法签名的二进制文件中 |
| 防御规避 | T1027 | 混淆文件或信息 | 混淆的阻止列表,伪装的流量 |
| 防御规避 | T1518.001 | 安全软件发现 | 检测 AV/EDR 进程和驱动程序 |
| 防御规避 | T1070 | 指标移除 | 删除日志,在确保访问权限后移除后门 |
| 命令与控制 | T1071.001 / .004 | 应用层协议 (Web/DNS) | 基于 HTTP + DNS 的 C2 |
| 命令与控制 | T1568.002 | 域名生成算法 | `avsvmcloud[.]com` 子域名生成 |
| 命令与控制 | T1132.001 | 标准编码 | 隐写式 HTTP payload |
| 横向移动 | T1021 | 远程服务 | 通过 TEARDROP/RAINDROP 进行入侵后的移动 |
| 横向移动 | T1078 | 有效账户 | 使用被盗的合法凭证 |
| 横向移动 | T1550 | 使用备用身份验证材料 | Golden SAML 伪造的 token |
| 横向移动 | T1053 / T1105 | 计划任务 / 入口工具传输 | 临时任务修改,工具交付 |
| 收集与窃取 | T1041 | 通过 C2 渠道窃取 | 数据通过现有的 C2 被窃取 |
| 收集与窃取 | T1114 | 电子邮件收集 | 访问了政府机构的邮箱 |
## 影响
- **85%** 的受调查组织受到影响;**31%** 报告了重大影响
- 受影响公司的平均财务成本:**约 1230 万美元**(约占年收入的 11%)
- **91%** 的组织重新评估了其供应链安全态势;**42%** 实施了立即改进
- 监管的后续影响包括关于改善国家网络安全的**第 14028 号行政命令**(2021 年 5 月)
- 对 APT29 的归属于 2021 年 4 月由 **FBI、CISA、NSA 和 ODNI** 联合宣布,但随后并未提出任何刑事指控,且 SolarWinds 表示其从未独立核实过攻击者的身份,这突显出即使在记录详尽的事件中,归因仍然十分困难
## 经验教训
**为什么检测失败了 14 个月。** 恶意软件是通过每个安全控制机制都被设计为信任的渠道到达的:一个带有签名的供应商更新。它将此与真正的操作纪律结合起来,包括休眠期、伪装成合法遥测的流量,以及一旦进入目标网络,就蓄意使用系统自带工具(PowerShell、合法凭证)而不是自定义恶意软件。
**“solarwinds123”密码。** 一个在 GitHub 上公开暴露了一年多的弱密码,成为了一个更深层次文化问题的象征。无论它是否是真正的攻击媒介,SolarWinds 的最初回应(归咎于一名实习生)受到了广泛批评,而不是将其视为进行透明自我评估的机会。
**本会有所帮助的措施。** 只有在事后才被识别出来的可检测信号包括:出站 HTTP PUT/POST 监控、计划任务修改警报、PowerShell 日志记录(事件 ID 4104)、NTFS 时间戳异常检查、一对多登录模式分析以及不可能旅行地理位置检查。在结构上,主动威胁狩猎、SIEM 覆盖、Active Directory 监控和 DLP 本可以缩小暴露窗口。
**更大的格局。** 单个受信任供应商被攻陷就可以暴露数千个原本安全严密的组织。没有任何组织会比其供应链中最薄弱的环节更安全。零信任架构、持续验证以及跨行业威胁情报共享(如 ENISA 所建议的)等框架,是自此以后行业发展的方向。这种模式在 **europa.eu / Trivy 遭到入侵(2026 年 3 月)** 事件中重演,暴露了至少 30 个欧洲组织的数据,这证实了这仍然是一个现实且不断演变的威胁,而不是一个已经解决的问题。
## 报告与参考
完整的详细技术报告(最初为某大学的网络安全课程编写)以 PDF 格式提供:[`report.pdf`](report.pdf)。
完整来源列表:[`references.md`](references.md)。
## 许可证
保留所有权利,请参阅 [LICENSE](LICENSE)。出于作品集和审查目的公开分享;如需重复使用或重新分发,需事先获得作者的书面许可。
标签:Cloudflare, DNS 反向解析, IP 地址批量处理, MITRE ATT&CK, 供应链攻击, 威胁情报, 子域名变形, 开发者工具, 文档安全, 案例分析, 网络安全, 防御加固, 隐私保护