APT组织针对SolarWinds产品供应链攻击事件预警 – 作者:安恒威胁情报中心

01 背景

2020年12月13日,据路透社报道,由政府资助的黑客一直在监视美国财政部和商务部的内部电子邮件。其中,有三位知情人士表示攻击者来自俄罗斯,另外两位知情人士称,本次攻击活动与上周披露的”FireEye公司遭APT攻击”事件有关。

攻击者通过供应链攻击(指将恶意代码隐藏在第三方提供的合法软件的一种攻击手法)获取目标系统访问权限,目的是窃取敏感数据。被攻击的供应商是SolarWinds公司,该公司致力于为企业开发软件以帮助管理其网络,系统和信息技术基础架构。在美国和世界其他几个国家设有销售和产品开发办事处。

SolarWinds周日发表声明,承认其软件产品存在漏洞,并称本次攻击与2020年3月至2020年6月之间发布的Orion监控产品(用于网络管理的软件平台)更新有关。

同日,安全公司FireEye发布了一篇关于针对SolarWinds的供应链攻击分析报告,在报告中,FireEye将攻击者称为UNC2452,而接受《Washington post》采访的知情人士称攻击者与APT29组织有联系。

02 事件概述

自2020年3月至2020年5月,多个木马化的更新包被打上了数字签名,并发布到SolarWinds更新网站上,其中包括:

hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

图片[1]-APT组织针对SolarWinds产品供应链攻击事件预警 – 作者:安恒威胁情报中心-安全小百科

此木马化的更新文件是一个标准的Windows安装程序补丁文件,其中包含了木马化的

SolarWinds.Orion.Core.BusinessLayer.dll组件。

安装更新后,恶意 DLL将被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取决于系统的结构)程序加载。

SolarWinds.Orion.Core.BusinessLayer.dll是 Orion 软件框架的 SolarWinds 数字签名组件,其中包含一个后门,通过 HTTP 向第三方服务器通信。FireEye的研究人员对此 SolarWinds Orion 插件的木马化版本命名为 SUNBURST。

图片[2]-APT组织针对SolarWinds产品供应链攻击事件预警 – 作者:安恒威胁情报中心-安全小百科

在两周的初始休眠期后,SUNBURST会检索和执行称为”Jobs”的命令,这些命令包括传输文件、执行文件、分析系统、重新启动计算机和禁用系统服务的能力。恶意软件伪装成 Orion 改进计划(OIP)协议,并在合法的插件配置文件中存储侦察结果,使其与合法的 SolarWinds 活动融合在一起。后门使用多个混淆的封锁列表来标识以进程、服务和驱动程序运行的取证和防病毒工具。

恶意软件将尝试解析avsvmcloud[.]com的子域名。DNS响应将返回指向C2域名的CNAME记录。与恶意域名的C2通信流量会模拟为正常的SolarWinds API通信。

03 影响范围

受本次攻击影响的用户来自多个国家,涉及多个行业,据FireEye公司称,受害者包括北美,欧洲,亚洲和中东的政府,咨询,技术,电信以及石油和天然气公司。

下图是solarwinds官网给的客户清单:

图片[3]-APT组织针对SolarWinds产品供应链攻击事件预警 – 作者:安恒威胁情报中心-安全小百科

04 应对策略

SolarWinds在官方声明中建议所有客户立即升级到Orion Platform版本2020.2.1 HF 1,该版本目前可通过SolarWinds客户界面获得。目前确认的受影响的SolarWinds Orion平台软件为于2020年3月至6月之间发布的2019.4 – 2020.2.1版本。

对于无法立即升级客户端的情况,宜采取以下紧急应对措施,建议将其作为初步措施以应对网络环境中SolarWinds软件的风险。如果在环境中发现了攻击者的活动,我们建议进行全面的排查,以保证网络环境的安全。

1. 在进一步排查和调查前,确保SolarWinds服务器被隔离或控制。这项措施需要确保封锁来自SolarWinds服务器的所有互联网出口。

2. 如果无法隔离SolarWinds基础设施,请考虑采取以下步骤

· 限制从SolarWinds服务器与终端的连接范围,尤其是与重要网络资产终端的连接

· 限制在SolarWinds服务器上本地管理员帐户的权限范围

· 封锁使用SolarWinds软件的服务器与其他终端的互联网出口

3. 更改有权访问SolarWinds服务器/基础设施的帐户密码。再根据进一步的调查,采取其他补救措施。

4. 如果使用SolarWinds托管的网络基础设施,请考虑对网络设备配置进行检查以应对意外/未经授权的修改。

FireEye在GitHub上提供了包含Yara、IOC和Snort格式等一系列检测指标。

https://github.com/fireeye/sunburst_countermeasures

图片[4]-APT组织针对SolarWinds产品供应链攻击事件预警 – 作者:安恒威胁情报中心-安全小百科

05 思考总结

有关APT供应链攻击的防护应对,目前仍处于起步阶段。软件供应链攻击是高级威胁的重要手段,其形式隐蔽,危害巨大,也容易忽视这类问题,仍然需要加大对供应链安全的不断投入。

06 相关IOC

Hash:

02af7cec58b9a5da1c542b5a32151ba1
08e35543d6110ed11fdf558bb093d401
2c4a910a1299cdae2a4e55988a2f102e
846e27a652a5e1bfbd0ddd38a16dc865
b91ce2fa41029f6955bff20079468448
4f2eb62fa529c0283b28d05ddd311fae
56ceb6d0011d87b6e4d7023d7ef85676

Domain:
6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com
7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]com
gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]com
ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]com
k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]com
mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
deftsecurity[.]com
freescanonline[.]com
thedoccloud[.]com
websitetheme[.]com
highdatabase[.]com
incomeupdate[.]com
databasegalore[.]com
panhardware[.]com
zupertech[.]com
zupertech[.]com

IP:
5.252.177.25
5.252.177.21
204.188.205.176
51.89.125.18
167.114.213.199

07 参考链接

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://cyber.dhs.gov/ed/21-01/

https://www.solarwinds.com/securityadvisory

https://github.com/fireeye/sunburst_countermeasures

本文为安恒威胁情报中心原创

转载请注明出处

安恒信息威胁情报中心:专注于提供威胁情报数据和分析服务

平台地址:https://ti.dbappsecurity.com.cn/

来源:freebuf.com 2020-12-15 10:12:13 by: 安恒威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论