聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
就在 SolarWinds 供应链攻击的取证证据慢慢浮出水面之时,安全研究员发现又有一个黑客组织利用 SolarWinds 软件在企业和政府网络中植入恶意软件。
虽然关于这个新的黑客组织的详情仍然很少,但安全研究员认为和疑似俄罗斯国家黑客组织之间并不存在关联。俄罗斯国家黑客组织攻陷了 SolarWinds,通过有陷阱的 app 更新将恶意软件 Sunburst (或 Solorigate)插入其官方 Orion app 中。在受感染网络中,Sunburst 将 ping 其创建者并下载第二阶段后门木马 Teardrop,然而进入手动攻击阶段。
在 SolarWinds 被黑事件公开后的最初几天,报告提到了两个阶段的 payload。Guidepoint、赛门铁克和 Palo Alto Networks 公司都详述了攻击者如何植入一个 .NET web shell,“Supernova”。安全研究员认为攻击者使用 Supernova Web shell 下载、编译并执行 Powershell 恶意脚本(有些人称之为 CosmicGale)。然而,微软安全团队之后分析澄清,Supernova 并非原始攻击链的一部分。
因此,从 SolarWinds 程序中发现 Supernova 的企业应当将其当作另外一起攻击。
微软安全分析师 Nick Carr 在 GitHub 上发布文章表示,Supernova Web shell 上似乎被植入 SolarWinds Orion 程序中。这些程序被暴露在网上,且遭类似于 CVE-2019-8917 的漏洞 exploit 的攻陷。
Supernova 和 Sunburst + Teardrop 攻击的关系令人困惑的地方在于,和 Sunburst 一样,Supernova 被伪装成 Orion app 的一个 DLL:Sunburst 隐藏在 SolarWinds.Orion.Core.BusinessLayer.dll 文件中,而 Supernova 隐藏在 App_Web_logoimagehandler.ashx.b6031896.dll 中。
但在12月18日的分析文章中,微软指出,不同于 Sunburst DLL,Supernova DLL 并未以合法的 SolarWinds 数字证书签名。这一现象被视作攻击者极其反常态的做法,攻击者之后才展现出非常高的复杂性和专注性。如花费数月的时间隐藏在 SolarWinds 的内部网络中,提前在 Orion app 中增加虚假的缓冲区代码并后续伪装所增加的恶意代码,以及隐藏恶意代码并使其看似由 SolarWinds 运维人员自己写的代码。
所有这些都是最初的攻击者本不会犯的错误,因此微软认为 Supernova 和最初的 SolarWinds 供应链攻击之间并不相关。
推荐阅读
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
原文链接
https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
535
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
