1、背景
12 月 13 日,美国顶级平安公司 FireEye(中文名:火眼)公布报告称,其发现一起全球性入侵流动,命名该组织为 UNC2452。该 APT 组织通过入侵 SolarWinds 公司,在 SolarWinds Orion 商业软件更新包中植入恶意代码,进行散发,FireEye 称之为 SUNBURST 恶意软件。该后门蕴含传输文件、执行文件、剖析零碎、重启机器和禁用零碎服务的能力,从而达到横向挪动和数据偷盗的目标。
SolarWinds Orion Platform 是一个弱小、可扩大的基础架构监督和治理平台,它用于以单个界面的模式简化本地、混合和软件即服务 (SaaS) 环境的 IT 治理。该平台可对网络设备提供实时监测和剖析,并反对定制网页、多种用户意见和对整个网络进行地图式浏览等。
2、事件概述
12 月 13 日,FireEye 披露了将 SolarWinds Orion 商业软件更新木马化的供应链攻打,Orion 软件框架的 SolarWinds 数字签名组件 SolarWinds.Orion.Core.BusinessLayer.dll 被插入一个后门,该后门通过 HTTP 与第三方服务器进行通信。据 FireEye 所述,该攻打可能最早呈现在 2020 年秋季,目前正处于继续攻打状态。攻击者从 2020 年 3 月至 2020 年 5 月,对多个木马更新进行了数字签名,并公布到 SolarWinds 更新网站, 其中包含 hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye 已在 GitHub 上公开了该后门的特色及检测规定,地址如下:
https://github.com/fireeye/sunburst_countermeasures
植入木马的文件为 SolarWinds.Orion.Core.BusinessLayer.dll 组件,一个规范的 Windows 安装程序补丁文件。一旦装置更新包,该歹意的 DLL 将被非法的 SolarWinds.BusinessLayerHost.exe 或 SolarWinds.BusinessLayerHostx64.exe(取决于系统配置)程序加载。
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是 Orion 软件框架的一个 SolarWinds 签名插件组件,其中的 SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer 类实现了通过 HTTP 与第三方服务器通信,传输和执行文件、剖析零碎和禁用零碎服务的后门,该后门的网络传输协定假装为非法的 SolarWinds 流动以回避平安工具的检测。
SolarWinds.Orion.Core.BusinessLayer.dll 由 solarwind 签名,应用序列号为 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed 的证书。该文件签订于 2020 年 3 月 24 日。
3、影响范畴
2019.4 HF 5 <= SolarWinds <= 2020.2.1。
4、解决方案
倡议装置了 2020 年 3 月至 6 月之间公布的 2019.4-2020.2.1 版本 SolarWinds Orion 平台软件,立刻更新至 Orion Platform 版本 2020.2.1HF1 版本。
5、参考链接
(1)https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
(2)https://www.solarwinds.com/se…