検索
ホームページ運用・保守安全性SolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例

SolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例

王林
王林
May 18, 2023 pm 12:52 PM
aptsolarwinds

  • 背景

12 月 13 日、米国トップのセキュリティ企業である FireEye (中国語)名前: Fire Eye) 世界規模の侵入活動を発見したとの報告書を発表し、組織を UNC2452 と命名しました。 APT組織はSolarWindsに侵入し、SolarWinds Orion商用ソフトウェアアップデートパッケージに悪意のあるコードを埋め込んで配布しており、FireEyeはこれをSUNBURSTマルウェアと呼んでいます。バックドアには、ファイルの転送、ファイルの実行、システムの分析、マシンの再起動、システム サービスの無効化などの機能が含まれており、横方向の移動やデータの盗難が可能になります。

SolarWinds Orion Platform は、オンプレミス、ハイブリッド、SaaS (Software-as-a-Service) 環境の IT 管理を単一のインターフェイスで簡素化するように設計された、強力でスケーラブルなインフラストラクチャ監視および管理プラットフォームです。このプラットフォームは、ネットワーク機器のリアルタイムの監視と分析を提供し、カスタマイズされた Web ページ、さまざまなユーザー フィードバック、ネットワーク全体のマップの閲覧をサポートします。

  • #イベント概要

12 月 13 日、FireEye は SolarWinds Orion を商品化することを発表しました。ソフトウェア更新のトロイの木馬化されたサプライ チェーン攻撃では、Orion ソフトウェア フレームワークの SolarWinds デジタル署名コンポーネントである SolarWinds.Orion.Core.BusinessLayer.dll が、HTTP 経由でサードパーティ サーバーと通信するバックドアに挿入されます。 FireEyeは、この種の攻撃は2020年春に初めて出現した可能性があり、現在も進行中であると述べた。 2020 年 3 月から 5 月にかけて、攻撃者は複数のトロイの木馬のアップデートにデジタル署名し、hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core などの SolarWinds アップデート Web サイトに公開しました。 -v2019.4.5220-Hotfix5.msp。 FireEye は、バックドアの特徴と検出ルールを GitHub 上で公開しています。GitHub アドレスは次のとおりです:

https://github.com/fireeye/sunburst_countermeasures

SolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例

トロイの木馬が含まれるファイル埋め込まれている SolarWinds.Orion.Core.BusinessLayer.dll コンポーネントの標準 Windows インストーラー パッチ ファイル。更新パッケージがインストールされると、悪意のある DLL が正規の SolarWinds.BusinessLayerHost.exe または SolarWinds.BusinessLayerHostx64.exe (システム構成に応じて) プログラムによってロードされます。

SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) は、Orion ソフトウェア フレームワークの SolarWinds シグネチャ プラグイン コンポーネントです。SolarWinds.Orion.Core.BusinessLayer.Orion ImprovementBusinessLayer クラスは、サードパーティ サーバーとの通信を実装します。ファイルの転送と実行、システムの分析、およびシステム サービスの無効化を行うバックドアであるバックドアのネットワーク転送プロトコルは、セキュリティ ツールによる検出を回避するために、正当な SolarWinds アクティビティとして偽装されています。

SolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例

SolarWinds.Orion.Core.BusinessLayer.dll は、solarwind によってシリアル番号 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 証明書で署名されています。 34:5d:c0:edの。この文書は2020年3月24日に署名されました。

SolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例

  • #影響範囲

    ##2019.4 HF 5

    #解決策

  • 2020 年 3 月から 6 月の間にインストールすることをお勧めします 2019.4 ~ 2020.2 のリリースSolarWinds Orion プラットフォーム ソフトウェアの .1 バージョンは、直ちに Orion プラットフォーム バージョン 2020.2.1HF1 に更新されます。

以上がSolarWinds サプライチェーン APT 攻撃事件のセキュリティ リスク分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事は亿速云で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
4週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
4週間前By尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前ByDDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.チャットコマンドとそれらの使用方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

EditPlus 中国語クラック版

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7522
15
CakePHP チュートリアル
1378
52
Steamのアカウント名の形式は何ですか
81
11
Win11 Activation Key Permanent
54
19
NYTの接続はヒントと回答です
21
70
もっと見る