찾다

>운영 및 유지보수 >안전 >SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례

SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례

王林
王林앞으로
2023-05-18 12:52:271067검색

  • Background

12월 13일, 미국 최고의 보안 회사인 FireEye(중국명: FireEye)는 글로벌 침입 활동을 발견하고 조직 이름을 UNC2452로 명명했다는 보고서를 발표했습니다. APT 조직은 SolarWinds 회사에 침입하여 SolarWinds Orion 상용 소프트웨어 업데이트 패키지에 악성코드를 심고 이를 SUNBURST 악성코드라고 명명하여 배포했습니다. 백도어에는 파일 전송, 파일 실행, 시스템 분석, 시스템 재부팅, 시스템 서비스 비활성화 기능이 포함되어 있어 측면 이동 및 데이터 도난이 가능합니다.

SolarWinds Orion Platform은 단일 인터페이스를 통해 온프레미스, 하이브리드 및 SaaS(Software-as-a-Service) 환경의 IT 관리를 단순화하도록 설계된 강력하고 확장 가능한 인프라 모니터링 및 관리 플랫폼입니다. 플랫폼은 네트워크 장비에 대한 실시간 모니터링 및 분석을 제공하며, 맞춤형 웹 페이지, 다양한 사용자 피드백, 전체 네트워크의 지도 탐색을 지원합니다.

  • 사고 개요

12월 13일, FireEye는 SolarWinds Orion 비즈니스 소프트웨어 업데이트, Orion 소프트웨어 프레임워크의 SolarWinds 디지털 서명 구성 요소 SolarWinds.Orion.Core.BusinessLayer를 트로이 목마화한 공급망 공격을 공개했습니다. HTTP를 통해 제3자 서버와 통신하는 백도어가 삽입되어 있습니다. FireEye는 이러한 유형의 공격이 2020년 봄에 처음 나타났을 수 있으며 여전히 진행 중이라고 말했습니다. 2020년 3월부터 5월까지 공격자는 여러 트로이 목마 업데이트에 디지털 서명을 하고 이를 hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core를 포함한 SolarWinds 업데이트 웹사이트에 게시했습니다. -v2019.4.5220-Hotfix5.msp. FireEye는 GitHub에 백도어의 특징과 탐지 규칙을 공개했습니다. GitHub 주소는 다음과 같습니다.

https://github.com/fireeye/sunburst_countermeasuresSolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례

트로이 목마가 심어진 파일은 SolarWinds.Orion.Core입니다. 표준 Windows Installer 패치 파일인 BusinessLayer.dll 구성 요소. 업데이트 패키지가 설치되면 합법적인 SolarWinds.BusinessLayerHost.exe 또는 SolarWinds.BusinessLayerHostx64.exe(시스템 구성에 따라 다름) 프로그램에 의해 악성 DLL이 로드됩니다.

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)은 Orion 소프트웨어 프레임워크의 SolarWinds 서명 플러그인 구성 요소입니다. SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer 클래스는 타사 서버와의 통신, 전송 및 실행을 구현합니다. HTTP를 통해 시스템을 기록하고 분석하며 시스템 서비스를 비활성화합니다. 백도어의 네트워크 전송 프로토콜은 보안 도구의 탐지를 피하기 위해 합법적인 SolarWinds 활동으로 위장합니다. SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례

SolarWinds.Orion.Core.BusinessLayer.dll은 일련 번호 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0을 사용하여 Solarwind에 의해 서명됩니다. 교육 증명서. 이 문서는 2020년 3월 24일에 서명되었습니다. SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례

  • 영향 범위

2019.4 HF 5

  • 솔루션

2020년 3월~6월 사이에 출시된 SolarWinds Orion 플랫폼 소프트웨어 2019.4-2020.2.1 버전을 설치하시고, 즉시 Orion 플랫폼 버전 2020.2.1HF1 버전으로 업데이트하는 것을 권장합니다. .

위 내용은 SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

架构 并发 事件 github windows http https
성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제
이전 기사:vBulletin 5.x 원격 코드 실행 취약점 분석 예다음 기사:vBulletin 5.x 원격 코드 실행 취약점 분석 예

관련 기사

더보기