关于 SolarWinds Orion 的数据分析

12 月 13 日星期日,FireEye 发布了一份关于利用 SolarWinds 的 Orion IT 监控软件进行复杂供应链攻击的报告,该恶意软件是作为Orion定期更新的一部分而分发的,并具有有效的数字签名,该恶意软件的一个显著特征是它使用多阶段方法隐藏其网络流量的方式。

首先,恶意软件使用域生成算法(DGA)确定其命令和控制(C2)服务器,以构建和解析avsvmcloud[.]com的子域,这些算法生成的字符串被添加为下列域名之一的子域,以创建一个新的完全限定域名来解析。

.appync-api[.]eu-west-1[.]avsvmcloud[.]com.appync-api[.]us-west-2[.]avsvmcloud[.]com. appsync-api[.]us-east-1[.]avsvmcloud[.]com.appync-api[.]us-east-2[.]avsvmcloud[.]com.

这样一个域名的例子可能看起来像:hig4gcdkgjkrt24v6isue7ax09nksd[.]appync-api[.]eu-west-1[.]avsvmcloud[.]com

对上述其中一个子域的DNS查询响应将返回一个指向另一个C2域的CNAME记录,该C2域用于数据外流。以下子域被确定为用于数据外泄的C2域。

freescanonline[.]comdeftsecurity[.]comthedoccloud[.]comwebsitetheme[.]comhighdatabase[.]comincomeupdate[. ]comdatabasegalore[.]companhardware[.]comzupertech[.]comvirtualdataserver[.]comdigitalcollege[.]org

在Cloudflare的公共DNS解析器1.1.1.1上看到的恶意软件活动。

利用已公布的关于恶意软件的网络观测细节,我们分析了连接到已识别的恶意主机名的DNS查询流量。

由于1.1.1.1具有强大的、经过审核的隐私政策,我们无法识别连接到恶意主机名的用户的源IP--我们只能看到汇总的趋势。

我们首次注意到,从2020年4月开始,通过Cloudflare的1.1.1.1解析器到avsvmcloud[.]com的DNS流量激增。

关于 SolarWinds Orion 的数据分析

回顾子域数据,早在4月份就出现了DGA域的特定模式。这些子域遵循一种格式,(例如:{dga-string}[.]appync-api[.]{region}[.]avsvmcloud[.]com)。

随着时间的推移,攻击者增加了更多独特的子域。下图描述了每周新观察到的 avsvmcloud[.]com 的唯一子域。

关于 SolarWinds Orion 的数据分析

如图所示,我们注意到夏季的活动大幅增加,观察到的总子域在9月达到稳定状态。

关于 SolarWinds Orion 的数据分析

虽然从10月开始,独特名称的增长速度放缓,但在整个攻击过程中,地理分布继续发生变化。在攻击的前几周,查询几乎全部来自北美和欧洲的客户。5月,查询的来源开始遍布全球。到了7月,查询又开始聚集,这次是在南美,然后在11月又回到主要来源于北美。

关于 SolarWinds Orion 的数据分析

保护我们的客户免受恶意活动的侵害。

Cloudflare的1.1.1.1解析器有严格的隐私保护措施,所以我们只能看到这种攻击的趋势。我们无法通知用户他们可能被入侵,因为我们有意不知道这些用户是谁。但对于Cloudflare Gateway的客户来说,我们可以帮助他们阻止这类威胁,并识别他们可能被入侵的情况。

Cloudflare Gateway由保障用户和设备连接互联网方式的功能组成。Gateway的DNS过滤功能建立在与1.1.1.1相同的技术基础上,并增加了安全过滤和日志记录。

在FireEye报告之后,Cloudflare为使用Gateway中 "恶意软件 "类别的客户以及使用1.1.1.1 for Families(1.1.1.2/3)的客户屏蔽了对此次攻击中使用的C2域的访问。

我们的响应团队正在与客户一起搜索日志,以查找与恶意域相关的查询。Gateway客户也可以下载DNS查询流量的日志,自行调查。