SolarWinds供應鏈APT攻擊事件安全風險的範例分析

• 背景

#12月13日，美國頂尖安全公司FireEye（中文名：火眼）發布報告稱，其發現一起全球性入侵活動，命名該組織為UNC2452。該APT組織透過入侵SolarWinds公司，在SolarWinds Orion商業軟體更新包中植入惡意程式碼，進行分發，FireEye稱之為SUNBURST惡意軟體。此後門包含傳輸檔案、執行檔、分析系統、重新啟動機器和停用系統服務的能力，從而到達橫向移動和資料竊取的目的。

SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平台，它用於以單一介面的形式簡化本地、混合和軟體即服務 (SaaS) 環境的 IT 管理。該平台提供即時監測和分析網路設備的功能，同時支援客製化網頁、多種使用者回饋以及進行整個網路地圖式瀏覽。

• 事件概述

#12月13日，FireEye揭露了將SolarWinds Orion商業軟體更新木馬化的供應鏈攻擊，Orion軟體框架的SolarWinds數位簽章元件SolarWinds.Orion.Core.BusinessLayer.dll被插入後門，後門透過HTTP與第三方伺服器進行通訊。 FireEye稱，這種攻擊可能在2020年春季首次出現，目前仍在持續進行中。攻擊者從2020年3月至2020年5月，對多個木馬更新進行了數位簽名，並發佈到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。 FireEye已經在GitHub上發布了該後門的特徵和檢測規則，GitHub地址如下：

https://github.com/fireeye/sunburst_countermeasures

#植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll元件，一個標準的Windows 安裝程式補丁檔。一旦安裝更新包，該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決於系統設定)程式載入。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟體框架的一個SolarWinds簽章外掛程式元件，其中的SolarWinds.Orion.Core.BusinessLayer.OrnessImL.OrnessIxSjxSfore.BusinessSTPTSrov ，傳輸和執行檔案、分析系統和禁用系統服務的後門，該後門的網路傳輸協定偽裝為合法的SolarWinds活動以逃避安全工具的偵測。

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名，使用序號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 34:5d:c0:ed的證書。該文件簽署於2020年3月24日。

• 影響範圍

#2019.4 HF 5

• 解決方案

#建議安裝了2020年3月至6月之間發佈的2019.4-2020.2.1版本SolarWinds Orion平台軟體，立即更新至Orion Platform版本2020.2.1HF1版本。

以上是SolarWinds供應鏈APT攻擊事件安全風險的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！