Beispielanalyse der Sicherheitsrisiken eines APT-Angriffsvorfalls in der SolarWinds-Lieferkette

#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Hintergrund#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜##13. Dezember, die Spitze, die Spitze Das US-Sicherheitsunternehmen FireEye (chinesischer Name: Huoyan) veröffentlichte einen Bericht, in dem es hieß, es habe eine weltweite Einbruchsaktivität entdeckt und nannte die Organisation UNC2452. Die APT-Organisation drang in das Unternehmen SolarWinds ein, implantierte Schadcode in das kommerzielle Software-Update-Paket SolarWinds Orion und verbreitete es als SUNBURST-Malware. Die Hintertür bietet die Möglichkeit, Dateien zu übertragen, Dateien auszuführen, das System zu analysieren, die Maschine neu zu starten und Systemdienste zum Zweck der lateralen Bewegung und des Datendiebstahls zu deaktivieren.

• SolarWinds Orion Platform ist eine leistungsstarke, skalierbare Infrastrukturüberwachungs- und Verwaltungsplattform, die die IT-Verwaltung von lokalen, hybriden und Software-as-a-Service (SaaS)-Umgebungen mit einer einzigen Schnittstelle vereinfacht. Die Plattform bietet Echtzeitüberwachung und -analyse von Netzwerkgeräten und unterstützt benutzerdefinierte Webseiten, verschiedene Benutzerfeedbacks und das Durchsuchen von Karten des gesamten Netzwerks.
  Veranstaltungsübersicht

Am 13. Dezember gab FireEye einen Lieferkettenangriff bekannt, bei dem das SolarWinds Orion-Unternehmenssoftware-Update SolarWinds.Orion.Core.BusinessLayer.dll, die SolarWinds-Digitalsignaturkomponente des Orion-Software-Frameworks, in eine Hintertür eingefügt wurde, die mit Dritten kommunizierte über HTTP. Server kommuniziert. FireEye sagte, dass dieser Angriff möglicherweise erstmals im Frühjahr 2020 aufgetreten sei und noch immer andauere. Von März bis Mai 2020 signierte der Angreifer mehrere Trojaner-Updates digital und veröffentlichte sie auf der SolarWinds-Update-Website, darunter hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core -v2019.4.5220-Hotfix5.msp. FireEye hat die Merkmale und Erkennungsregeln der Hintertür auf GitHub veröffentlicht. Die GitHub-Adresse lautet wie folgt:

• https://github.com/fireeye/sunburst_countermeasures

  #🎜 🎜# Bei der mit dem Trojaner implantierten Datei handelt es sich um die SolarWinds.Orion.Core.BusinessLayer.dll-Komponente, eine Standard-Patchdatei für das Windows-Installationsprogramm. Sobald das Update-Paket installiert ist, wird die schädliche DLL vom legitimen Programm SolarWinds.BusinessLayerHost.exe oder SolarWinds.BusinessLayerHostx64.exe (je nach Systemkonfiguration) geladen. SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448) ist eine SolarWinds-Signatur-Plug-in-Komponente des Orion-Software-Frameworks, in dem die Klasse SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer implementiert wird HTTP und Dritte Eine Hintertür, die mit Servern kommuniziert, Dateien überträgt und ausführt, das System analysiert und Systemdienste deaktiviert. Das Netzwerkübertragungsprotokoll der Hintertür tarnt sich als legitime SolarWinds-Aktivität, um der Erkennung durch Sicherheitstools zu entgehen.

SolarWinds.Orion.Core.BusinessLayer.dll wird von Solarwind mit der Seriennummer 0f:e9:73:75:20:22:a6:06:ad:f2:a3 signiert :6e:34:5d:c0:ed Zertifikat. Das Dokument wurde am 24. März 2020 unterzeichnet. #🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Einflussbereich#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 🎜🎜 #

2019.4 HF 5 <= SolarWinds <= 2020.2.1. #🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜##Lösung#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#it es Es wird empfohlen, die Version 2019.4-2020.2.1 der SolarWinds Orion-Plattformsoftware zu installieren, die zwischen März und Juni 2020 veröffentlicht wurde, und sofort auf die Orion-Plattformversion 2020.2.1HF1 zu aktualisieren.

Das obige ist der detaillierte Inhalt vonBeispielanalyse der Sicherheitsrisiken eines APT-Angriffsvorfalls in der SolarWinds-Lieferkette. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!