12 月 13 日、米国トップのセキュリティ企業である FireEye (中国語)名前: Fire Eye) 世界規模の侵入活動を発見したとの報告書を発表し、組織を UNC2452 と命名しました。 APT組織はSolarWindsに侵入し、SolarWinds Orion商用ソフトウェアアップデートパッケージに悪意のあるコードを埋め込んで配布しており、FireEyeはこれをSUNBURSTマルウェアと呼んでいます。バックドアには、ファイルの転送、ファイルの実行、システムの分析、マシンの再起動、システム サービスの無効化などの機能が含まれており、横方向の移動やデータの盗難が可能になります。
SolarWinds Orion Platform は、オンプレミス、ハイブリッド、SaaS (Software-as-a-Service) 環境の IT 管理を単一のインターフェイスで簡素化するように設計された、強力でスケーラブルなインフラストラクチャ監視および管理プラットフォームです。このプラットフォームは、ネットワーク機器のリアルタイムの監視と分析を提供し、カスタマイズされた Web ページ、さまざまなユーザー フィードバック、ネットワーク全体のマップの閲覧をサポートします。
12 月 13 日、FireEye は SolarWinds Orion を商品化することを発表しました。ソフトウェア更新のトロイの木馬化されたサプライ チェーン攻撃では、Orion ソフトウェア フレームワークの SolarWinds デジタル署名コンポーネントである SolarWinds.Orion.Core.BusinessLayer.dll が、HTTP 経由でサードパーティ サーバーと通信するバックドアに挿入されます。 FireEyeは、この種の攻撃は2020年春に初めて出現した可能性があり、現在も進行中であると述べた。 2020 年 3 月から 5 月にかけて、攻撃者は複数のトロイの木馬のアップデートにデジタル署名し、hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core などの SolarWinds アップデート Web サイトに公開しました。 -v2019.4.5220-Hotfix5.msp。 FireEye は、バックドアの特徴と検出ルールを GitHub 上で公開しています。GitHub アドレスは次のとおりです:
https://github.com/fireeye/sunburst_countermeasures
トロイの木馬が含まれるファイル埋め込まれている SolarWinds.Orion.Core.BusinessLayer.dll コンポーネントの標準 Windows インストーラー パッチ ファイル。更新パッケージがインストールされると、悪意のある DLL が正規の SolarWinds.BusinessLayerHost.exe または SolarWinds.BusinessLayerHostx64.exe (システム構成に応じて) プログラムによってロードされます。
SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) は、Orion ソフトウェア フレームワークの SolarWinds シグネチャ プラグイン コンポーネントです。SolarWinds.Orion.Core.BusinessLayer.Orion ImprovementBusinessLayer クラスは、サードパーティ サーバーとの通信を実装します。ファイルの転送と実行、システムの分析、およびシステム サービスの無効化を行うバックドアであるバックドアのネットワーク転送プロトコルは、セキュリティ ツールによる検出を回避するために、正当な SolarWinds アクティビティとして偽装されています。
SolarWinds.Orion.Core.BusinessLayer.dll は、solarwind によってシリアル番号 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 証明書で署名されています。 34:5d:c0:edの。この文書は2020年3月24日に署名されました。
以上がSolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
