安全公告
2020年12月20日,SolarWinds官方更新发布SolarWinds Orion Platform软件在今年3月到6月发布的版本中,发现遭受了国家级别的高度复杂的供应链攻击行为的安全公告,相关链接:
https://www.solarwinds.com/securityadvisory
根据公告,在SolarWinds Orion Platform的2019.4 HF5到2020.2.1及其相关补丁包的受影响版本中,存在高度复杂后门行为的恶意代码(SUNBURST后门),从而导致安装了被污染包的用户系统存在直接被植入后门的巨大风险,建议安装了SolarWinds Orion Platform软件的用户立即排查程序异常行为并及时升级到安全的版本。
一
影响范围
遭受供应链攻击的SolarWinds Orion Platform软件主要包括以下版本:
2019.4 HF5,文件版本:2019.4.5200.9083,建议更新到2019.4 HF6以上版本;
2020.2 RC1,文件版本:2020.2.100.12219,建议更新到2020.2.1、2020.2.1 HF1或2020.2.1 HF2以上版本;
2020.2 RC2,文件版本:2020.2.5200.12394,建议更新到2020.2.1、2020.2.1 HF1或2020.2.1 HF2以上版本;
2020.2、2020.2 HF1,文件版本:2020.2.5300.12432,建议更新到2020.2.1、2020.2.1 HF1或2020.2.1 HF2以上版本;
Orion Platform包含的组件产品如下:
Application Centric Monitor (ACM)
Database Performance Analyzer
Integration Module* (DPAIM*)
Enterprise Operations Console (EOC)
High Availability (HA)
IP Address Manager (IPAM)
Log Analyzer (LA)
Network Automation Manager (NAM)
Network Configuration Manager (NCM)
Network Operations Manager (NOM)
User Device Tracker (UDT)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
Virtualization Manager (VMAN)
VoIP & Network Quality Manager (VNQM)
Web Performance Monitor (WPM)
Orion Platform Hotfix补丁发布参考:
https://support.solarwinds.com/SuccessCenter/s/article/Orion-Hotfix-Release-Notes?language=zh_CN
通过安恒SUMAP平台对暴露在互联网上的SolarWinds Orion Platform进行统计,最新查询分布情况如下,全球分布:
国内分布:
二
样本分析
根据快速分析,SolarWinds Orion Platform软件遭受供应链攻击,被恶意污染的模块主要是:SolarWinds.Orion.Core.BusinessLayer.dll模块,从SolarWinds官网下载的SolarWinds-Core-v2019.4.5220-Hotfix5.msp、CoreInstaller.msi、Solarwinds-Orion-NPM-2020.2-OfflineInstaller.iso等安装包中都存在该模块,表明在源码层级即被污染,程序由C#编译,被恶意修改污染的是OrionImprovementBusinessLayer类,在该类中实现了完整的恶意后门功能,具体包括:读取和删除文件,运行和中止进程,读取注册表等,由于模块具有SolarWinds数字签名证书,针对杀毒软件有白名单效果,隐蔽性很高,危害巨大,建议安装了该软件的用户立即展开异常排查。
此次供应链攻击复杂度高,很多技术细节和受影响目标企业依然在跟踪分析中,安恒威胁情报中心【猎鹰实验室】和安全服务【分子实验室】高级威胁分析小组针对攻击事件做了简单的供应链攻击生命周期映射,便于直观展示基于供应链的攻击示例:
三
加固措施
紧急:已经部署有SolarWinds Orion Platform产品的用户,请尽快更新去除后门代码的补丁,计划安装该软件的用户务必下载安装最新版本。
手动排查指南:
由于后门代码高仿了正常代码,硬编码了一些字符串,比如“domain4”,而domain1、domain2、domain3为程序模块中正常代码,因此可以通过本地搜索字符来判断SolarWinds.Orion.Core.BusinessLayer.dll模块是否包含恶意代码,具体操作:打开命令提示符切换到程序安装目录下,运行命令参考:
findstr /m /s /i "domain4" SolarWinds.Orion.Core.BusinessLayer.dll
或直接全局搜索,命令参考:findstr /m /s /i "domain4" *.dll
如果返回一行:SolarWinds.Orion.Core.BusinessLayer.dll,表示中招,要立即加固和采取措施,如果返回为空,表示正常。
网络行为:监控出口流量是否存在对以下IOC列表中域名和IP地址的请求包,如果存在要针对主机展开排查。
STIX文件:
https://us-cert.cisa.gov/sites/default/files/publications/AA20-352A.stix.xml
安恒应急响应中心
2020年12月
本文始发于微信公众号(安恒信息应急响应中心):SolarWinds Orion Platform软件供应链攻击风险更新提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论