黑客利用一個(gè)新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)黑客利用一個(gè)新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

攻擊者可能已將SolarWinds Orion軟件中的一個(gè)身份驗(yàn)證繞過(guò)漏洞作為0-day漏洞，在目標(biāo)環(huán)境中部署SuperNova惡意軟件。

根據(jù)美國(guó)CERT/CC 12月26日發(fā)布的一則安全公告，用于與所有其他Orion系統(tǒng)監(jiān)控和管理產(chǎn)品連接的SolarWinds Orion API存在一個(gè)安全漏洞（CVE-2020-10148），遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行未經(jīng)身份驗(yàn)證的API命令，從而入侵SolarWinds實(shí)例。

該公告指出，通過(guò)在發(fā)給該API的URI的Request.PathInfo部分包含特定的參數(shù)，可繞過(guò)該API的身份驗(yàn)證。

特別是，如果攻擊者將‘WebResource.adx’，‘ScriptResource.adx’，‘i18n.ashx’或‘Skipi18n’的PathInfo參數(shù)附加到發(fā)給SolarWinds Orion服務(wù)器的請(qǐng)求，SolarWinds會(huì)設(shè)置SkipAuthorization標(biāo)識(shí)，這可能會(huì)導(dǎo)致在不需要身份驗(yàn)證的情況下處理該API請(qǐng)求。

SolarWinds 12月24日更新了此前的安全公告，指出攻擊者可通過(guò)利用Orion Platform中的一個(gè)漏洞部署惡意軟件。但是該漏洞的詳細(xì)信息仍未完全披露。

上周，Microsoft披露了第二個(gè)威脅行為者，該威脅行為者可能已經(jīng)濫用SolarWinds Orion軟件在目標(biāo)系統(tǒng)上投遞另一個(gè)惡意軟件SuperNova。

這同樣得到了Palo Alto Networks Unit 42威脅情報(bào)團(tuán)隊(duì)和GuidePoint Security公司的證實(shí)。這兩家安全公司都將它描述為一個(gè).NET web shell，通過(guò)修改SolarWinds Orion應(yīng)用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模塊而實(shí)現(xiàn)。

雖然該DLL的合法用途，是將用戶配置的logo圖像通過(guò)一個(gè)HTTP API返回給Orion web應(yīng)用程序的其他組件，但是該惡意軟件允許它接收來(lái)自受攻擊者控制的服務(wù)器的遠(yuǎn)程命令，并在該服務(wù)器用戶的上下文中在內(nèi)存執(zhí)行命令。

Unit 42團(tuán)隊(duì)的研究人員指出，SuperNova新穎而強(qiáng)大，因?yàn)槠湓趦?nèi)存中執(zhí)行，以及其參數(shù)和執(zhí)行的復(fù)雜性，和通過(guò).NET runtime實(shí)現(xiàn)完整編程API的靈活性。

SuperNova web shell據(jù)說(shuō)是由一個(gè)不明身份的第三方行為者投遞的，不同于SunBurst行為者（UNC2452），因?yàn)椴幌馭unBurst DLL，前述DLL未經(jīng)數(shù)字簽名。

政府機(jī)構(gòu)和網(wǎng)絡(luò)安全專家正在努力了解該攻擊的全部后果，并將可能席卷1.8萬(wàn)名SolarWinds客戶的全球入侵行動(dòng)拼湊起來(lái)。

發(fā)現(xiàn)SunBrust植入軟件的第一個(gè)公司FireEye，在一篇分析文章中表示，一旦實(shí)現(xiàn)了合法的遠(yuǎn)程訪問(wèn)，該間諜行動(dòng)的幕后行為者通常會(huì)移除他們的工具，包括后門。這意味著高度的技術(shù)成熟度和對(duì)行動(dòng)安全的關(guān)注。

ReversingLabs和Microsoft發(fā)現(xiàn)的證據(jù)顯示，早在2019年10月，用于攻擊SolarWinds的關(guān)鍵構(gòu)建代碼塊就已經(jīng)就位，當(dāng)時(shí)攻擊者添加了一個(gè)帶有無(wú)害修改的常規(guī)軟件更新，以與原始代碼融合，隨后進(jìn)行了惡意修改，使其能夠?qū)olarWinds客戶發(fā)動(dòng)進(jìn)一步的攻擊和竊取數(shù)據(jù)。

當(dāng)前廠商提供的SolarWinds Orion Platform相關(guān)版本的更新包括：

2019.4 HF 6（2020年12月14日發(fā)布）

2020.2.1 HF 2（2020年12月15日發(fā)布）

2019.2 SUPERNOVA Patch（2020年12月23日發(fā)布）

2018.4 SUPERNOVA Patch（2020年12月23日發(fā)布）

2018.2 SUPERNOVA Patch（2020年12月23日發(fā)布）

升級(jí)到2020.2.1 HF 2版本或2019.4 HF 6版本的客戶已經(jīng)修復(fù)了SunBurst和SuperNova漏洞，無(wú)需采取進(jìn)一步措施。

關(guān)于“黑客利用一個(gè)新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。