SolarWinds供應鏈APT攻擊事件安全風險的示例分析

今天給大家介紹一下SolarWinds供應鏈APT攻擊事件安全風險的示例分析。文章的內容小編覺得不錯，現在給大家分享一下，覺得有需要的朋友可以了解一下，希望對大家有所幫助，下面跟著小編的思路一起來閱讀吧。

創新互聯公司主要從事成都做網站、成都網站建設、網頁設計、企業做網站、公司建網站等業務。立足成都服務泰興,十余年網站建設經驗,價格優惠、服務專業,歡迎來電咨詢建站服務:18980820575

背景

12月13日，美國頂級安全公司FireEye（中文名：火眼）發布報告稱，其發現一起全球性入侵活動，命名該組織為UNC2452。該APT組織通過入侵SolarWinds公司，在SolarWinds Orion商業軟件更新包中植入惡意代碼，進行分發，FireEye稱之為SUNBURST惡意軟件。該后門包含傳輸文件、執行文件、分析系統、重啟機器和禁用系統服務的能力，從而到達橫向移動和數據盜竊的目的。

SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平臺，它用于以單個界面的形式簡化本地、混合和軟件即服務 (SaaS) 環境的 IT 管理。該平臺可對網絡設備提供實時監測和分析，并支持定制網頁、多種用戶意見和對整個網絡進行地圖式瀏覽等。

事件概述

12月13日，FireEye披露了將SolarWinds Orion商業軟件更新木馬化的供應鏈攻擊，Orion軟件框架的SolarWinds數字簽名組件SolarWinds.Orion.Core.BusinessLayer.dll被插入一個后門，該后門通過HTTP與第三方服務器進行通信。據FireEye所述，該攻擊可能最早出現在2020年春季，目前正處于持續攻擊狀態。攻擊者從2020年3月至2020年5月，對多個木馬更新進行了數字簽名，并發布到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公開了該后門的特征及檢測規則，地址如下：

https://github.com/fireeye/sunburst_countermeasures SolarWinds供應鏈APT攻擊事件安全風險的示例分析

植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll組件，一個標準的Windows 安裝程序補丁文件。一旦安裝更新包，該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決于系統配置)程序加載。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架的一個SolarWinds簽名插件組件，其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer類實現了通過HTTP與第三方服務器通信，傳輸和執行文件、分析系統和禁用系統服務的后門，該后門的網絡傳輸協議偽裝為合法的SolarWinds活動以逃避安全工具的檢測。 SolarWinds供應鏈APT攻擊事件安全風險的示例分析

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名，使用序列號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的證書。該文件簽署于2020年3月24日。 SolarWinds供應鏈APT攻擊事件安全風險的示例分析