黑哥带你从网络空间测绘看“SolarWinds Orion供应链攻击事件” – 作者:知道创宇404实验室

关于SolarWinds Orion供应链攻击事件（戳此回顾），这两天的讨论比较火爆，这里顺带给一下ZoomEye上的数据。搜索语法：app:”SolarWinds Orion”，获得历史数据7,507条。从360的分析报告(https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q)来看，攻击时间可以追溯到2019年5月18日到2019年10月10日之间。我们选了个时间段：app:”SolarWinds Orion” +after:”2019-05-18″，得到3,663条结果。#国家分布TOP10如下美国 1,429印度尼西亚 372 中国 265英国 169伊朗 131印度 83澳大利亚 81加拿大 68巴基斯坦 67墨西哥 61

# 其中，中国分布Top 10如下香港 53广东 46北京 40上海 21重庆 14台湾 12山东 10江苏 10浙江 8陕西 7

（注：ZoomEye线上数据是“覆盖”更新的，所以可能存在一些之前用过SolarWinds Orion后被新服务覆盖的可能）虽然从样本的技术分析及杀软对抗等逻辑可以判断本次攻击者的目标指向我国的可能性不大，但是从ZoomEye网络空间测绘的数据来看，本次“SolarWinds Orion供应链攻击事件”对我国还是有一定的影响的，不排除攻击者“顺手牵羊”的可能，所以建议相关使用过SolarWinds Orion的单位企业注意安全检查，排除风险。从近几年的案例来看，类似的“供应链”攻击效果及危害是显而易见的，很多的安全事件被披露后才开始事后分析及跟进，由此朋友 高渐离 在他的公众号里发了一篇文章(https://mp.weixin.qq.com/s/ytm62hJ59XIDi-QRlZTfEg)来吐槽。其实我这里想顺带表达的是，在还不流行“供应链”这个概念的时候，我们就开发了一套系统WAM，能非常有效地监控，提早发现这类威胁。当然，WAM当时的设计主要针对WEB开源程序，其实对于bin/app等也是通用的。这套系统我们也在“KCon2018 404发布”环节里正式对外开源发布（https://github.com/knownsec/wam），并且该项目也选进了我们的“星链计划”(https://github.com/knownsec/404StarLink-Project)。

作者：知道创宇@heige

来源：freebuf.com 2020-12-18 14:25:30 by: 知道创宇404实验室