溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析

發(fā)布時(shí)間:2022-01-18 16:27:28 來源:億速云 閱讀:130 作者:柒染 欄目:網(wǎng)絡(luò)安全

今天給大家介紹一下SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析。文章的內(nèi)容小編覺得不錯(cuò),現(xiàn)在給大家分享一下,覺得有需要的朋友可以了解一下,希望對大家有所幫助,下面跟著小編的思路一起來閱讀吧。

  • 背景

12月13日,美國頂級安全公司FireEye(中文名:火眼)發(fā)布報(bào)告稱,其發(fā)現(xiàn)一起全球性入侵活動(dòng),命名該組織為UNC2452。該APT組織通過入侵SolarWinds公司,在SolarWinds Orion商業(yè)軟件更新包中植入惡意代碼,進(jìn)行分發(fā),F(xiàn)ireEye稱之為SUNBURST惡意軟件。該后門包含傳輸文件、執(zhí)行文件、分析系統(tǒng)、重啟機(jī)器和禁用系統(tǒng)服務(wù)的能力,從而到達(dá)橫向移動(dòng)和數(shù)據(jù)盜竊的目的。

SolarWinds Orion Platform 是一個(gè)強(qiáng)大、可擴(kuò)展的基礎(chǔ)架構(gòu)監(jiān)視和管理平臺,它用于以單個(gè)界面的形式簡化本地、混合和軟件即服務(wù) (SaaS) 環(huán)境的 IT 管理。該平臺可對網(wǎng)絡(luò)設(shè)備提供實(shí)時(shí)監(jiān)測和分析,并支持定制網(wǎng)頁、多種用戶意見和對整個(gè)網(wǎng)絡(luò)進(jìn)行地圖式瀏覽等。

  • 事件概述

12月13日,F(xiàn)ireEye披露了將SolarWinds Orion商業(yè)軟件更新木馬化的供應(yīng)鏈攻擊,Orion軟件框架的SolarWinds數(shù)字簽名組件SolarWinds.Orion.Core.BusinessLayer.dll被插入一個(gè)后門,該后門通過HTTP與第三方服務(wù)器進(jìn)行通信。據(jù)FireEye所述,該攻擊可能最早出現(xiàn)在2020年春季,目前正處于持續(xù)攻擊狀態(tài)。攻擊者從2020年3月至2020年5月,對多個(gè)木馬更新進(jìn)行了數(shù)字簽名,并發(fā)布到SolarWinds更新網(wǎng)站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公開了該后門的特征及檢測規(guī)則,地址如下:

https://github.com/fireeye/sunburst_countermeasuresSolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析

植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll組件,一個(gè)標(biāo)準(zhǔn)的Windows 安裝程序補(bǔ)丁文件。一旦安裝更新包,該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決于系統(tǒng)配置)程序加載。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架的一個(gè)SolarWinds簽名插件組件,其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer類實(shí)現(xiàn)了通過HTTP與第三方服務(wù)器通信,傳輸和執(zhí)行文件、分析系統(tǒng)和禁用系統(tǒng)服務(wù)的后門,該后門的網(wǎng)絡(luò)傳輸協(xié)議偽裝為合法的SolarWinds活動(dòng)以逃避安全工具的檢測。SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名,使用序列號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的證書。該文件簽署于2020年3月24日。SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析

  • 影響范圍

2019.4 HF 5 <= SolarWinds <= 2020.2.1。

  • 解決方案

建議安裝了2020年3月至6月之間發(fā)布的2019.4-2020.2.1版本SolarWinds Orion平臺軟件,立即更新至Orion Platform版本2020.2.1HF1版本。

以上就是SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析的全部內(nèi)容了,更多與SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析相關(guān)的內(nèi)容可以搜索億速云之前的文章或者瀏覽下面的文章進(jìn)行學(xué)習(xí)哈!相信小編會(huì)給大家增添更多知識,希望大家能夠支持一下億速云!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI