《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 黃雀在后?SolarWinds供應(yīng)鏈攻擊曝出第二個(gè)后門

黃雀在后?SolarWinds供應(yīng)鏈攻擊曝出第二個(gè)后門

2020-12-23
來源:安全牛
關(guān)鍵詞: SolarWinds 供應(yīng)鏈

   微信圖片_20201223140505.jpg

在緊鑼密鼓,日以繼夜分析SolarWinds Orion供應(yīng)鏈攻擊時(shí),安全研究人員發(fā)現(xiàn)了另一個(gè)后門,而這個(gè)后門很可能來自另外一個(gè)高級威脅組織(APT),換而言之,SolarWinds可能被至少兩個(gè)APT組織滲透,而且兩個(gè)組織很有可能并非合作關(guān)系。

  “日爆”之后還有“超新星”

  最初發(fā)現(xiàn)的Orion后門被FireEye命名為SUNBURST(日爆),這個(gè)最新發(fā)現(xiàn)的惡意軟件名為SUPERNOVA(超新星),從字面上看起來比“日爆”威力還大。SUPERNOVA是一個(gè)植入Orion網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視平臺代碼中的Webshell,使攻擊者能夠在運(yùn)行木馬版Orion的計(jì)算機(jī)上運(yùn)行任意代碼。

  根據(jù)派拓網(wǎng)絡(luò)(Palo Alto Networks)的調(diào)查,該Webshell是SolarWinds Orion軟件中存在的合法。NET庫(app_web_logoimagehandler.ashx.b6031896.dll)的木馬變體,攻擊者對其進(jìn)行了修改,使其可以逃避自動(dòng)防御機(jī)制。

  Orion軟件使用DLL公開HTTP API,從而允許主機(jī)在查詢特定GIF圖像時(shí)響應(yīng)其他子系統(tǒng)。

  派拓網(wǎng)絡(luò)高級安全研究員Matt Tennis指出:SUPERNOVA背后的黑客手法極為巧妙,在合法DLL文件中植入的代碼質(zhì)量非常高,以至于即使是人工審核分析代碼也很難發(fā)現(xiàn)。

  分析表明,攻擊者在合法的SolarWinds文件中添加了四個(gè)新參數(shù),以接收來自命令和控制(C2)服務(wù)器的指令。

  惡意代碼僅包含一種方法——DynamicRun,該方法可將參數(shù)動(dòng)態(tài)編譯到內(nèi)存中的。NET程序集中,因此不會在受感染設(shè)備的磁盤上留下任何痕跡。

  微信圖片_20201223140534.jpg

  資料來源:Palo Alto Networks

  這樣,攻擊者可以將任意代碼發(fā)送到受感染的設(shè)備,并在用戶的上下文中運(yùn)行該代碼,目標(biāo)用戶通常在網(wǎng)絡(luò)上具有較高的特權(quán)和可見性。

  目前,SUPERNOVA惡意軟件樣本已被上傳到VirusTotal,可被69個(gè)防病毒引擎中的55個(gè)檢測到。

  目前尚不清楚SUPERNOVA在Orion軟件中存在了多久,但I(xiàn)ntezer的惡意軟件分析系統(tǒng)顯示其編譯時(shí)間戳為2020年3月24日。

  黃雀在后?

  根據(jù)調(diào)查的結(jié)果,SUPERNOVA出自一個(gè)高級黑客組織之手,該組織將Webshell攻擊技術(shù)提升到了一個(gè)新的高度。

  “盡管。NET Webshell相當(dāng)常見,但大多數(shù)公開研究的樣本都只是接受命令和控制(C2)參數(shù),并執(zhí)行一些相對淺層次的利用?!盩ennis說。

  研究人員補(bǔ)充說,SUPERNOVA不同尋常之處在于,能以有效的。NET程序作為參數(shù)并執(zhí)行內(nèi)存中的代碼,除初始C2請求之外,不再需要其他網(wǎng)絡(luò)回調(diào)。

  而大多數(shù)Webshell需要在運(yùn)行時(shí)環(huán)境中運(yùn)行載荷,或通過調(diào)用諸如CMD、PowerShell或Bash之類的子Shell或進(jìn)程。

  微軟認(rèn)為,與入侵網(wǎng)絡(luò)安全公司FireEye和美國政府多個(gè)部門的攻擊者相比,SUPERNOVA可能是另一個(gè)獨(dú)立的高級威脅組織的“作品”。

  微軟在事件調(diào)查安全咨文中指出:“事情出現(xiàn)了有趣的轉(zhuǎn)折,業(yè)界調(diào)查SolarWinds Orion(SUNBURST,微軟稱之為Solarigate)后門時(shí)卻發(fā)現(xiàn)了另一個(gè)后門(惡意軟件),而且該惡意軟件也入侵了SolarWinds Orion產(chǎn)品,但很可能與本次SolarWinds供應(yīng)鏈攻擊(及其背后的攻擊者)無關(guān),是另外一個(gè)攻擊者的工具?!?/p>

  微軟的判斷依據(jù)是,SUPERNOVA沒有數(shù)字簽名,這與最初發(fā)現(xiàn)的SunBurst/Solarigate木馬化了的SolarWinds.Orion.Core.BusinessLayer.Dll庫不同。

  目前,上述網(wǎng)絡(luò)安全公司尚未給出兩種惡意軟件的歸因定論,但認(rèn)定都是出自APT組織之手。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。