背景
#12月13日,美國頂尖安全公司FireEye(中文名:火眼)發布報告稱,其發現一起全球性入侵活動,命名該組織為UNC2452。該APT組織透過入侵SolarWinds公司,在SolarWinds Orion商業軟體更新包中植入惡意程式碼,進行分發,FireEye稱之為SUNBURST惡意軟體。此後門包含傳輸檔案、執行檔、分析系統、重新啟動機器和停用系統服務的能力,從而到達橫向移動和資料竊取的目的。
SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平台,它用於以單一介面的形式簡化本地、混合和軟體即服務 (SaaS) 環境的 IT 管理。該平台提供即時監測和分析網路設備的功能,同時支援客製化網頁、多種使用者回饋以及進行整個網路地圖式瀏覽。
事件概述
#12月13日,FireEye揭露了將SolarWinds Orion商業軟體更新木馬化的供應鏈攻擊,Orion軟體框架的SolarWinds數位簽章元件SolarWinds.Orion.Core.BusinessLayer.dll被插入後門,後門透過HTTP與第三方伺服器進行通訊。 FireEye稱,這種攻擊可能在2020年春季首次出現,目前仍在持續進行中。攻擊者從2020年3月至2020年5月,對多個木馬更新進行了數位簽名,並發佈到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。 FireEye已經在GitHub上發布了該後門的特徵和檢測規則,GitHub地址如下:
https://github.com/fireeye/sunburst_countermeasures
#植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll元件,一個標準的Windows 安裝程式補丁檔。一旦安裝更新包,該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決於系統設定)程式載入。
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟體框架的一個SolarWinds簽章外掛程式元件,其中的SolarWinds.Orion.Core.BusinessLayer.OrnessImL.OrnessIxSjxSfore.BusinessSTPTSrov ,傳輸和執行檔案、分析系統和禁用系統服務的後門,該後門的網路傳輸協定偽裝為合法的SolarWinds活動以逃避安全工具的偵測。
SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名,使用序號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 34:5d:c0:ed的證書。該文件簽署於2020年3月24日。
影響範圍
#2019.4 HF 5
解決方案
#建議安裝了2020年3月至6月之間發佈的2019.4-2020.2.1版本SolarWinds Orion平台軟體,立即更新至Orion Platform版本2020.2.1HF1版本。
以上是SolarWinds供應鏈APT攻擊事件安全風險的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!