FireEye发现Solarwinds供应链攻击

概要

FireEye发现了一个广泛的战役，我们正在追踪它为UNC2452。这场运动的幕后参与者获得了世界各地众多公共和私人组织的参与。他们通过对SolarWind的Orion IT监视和管理软件进行了木马化更新来接触受害者。这项运动可能最早在2020年春季开始，目前正在进行中。在此供应链妥协后的妥协后活动包括横向移动和数据盗窃。该活动是一名高技能演员的工作，并且在进行操作时具有很高的操作安全性。

SUNBURST后门

SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件，其中包含一个后门，该后门通过HTTP与第三方服务器进行通信。我们正在跟踪此SolarWinds Orion插件的木马版本，即SUNBURST。

经过长达两个星期的初始休眠期后，它会检索并执行称为“作业”的命令，这些命令包括传输文件，执行文件，对系统进行配置文件，重新引导计算机以及禁用系统服务的功能。该恶意软件伪装成Orion改进程序（OIP）协议的网络流量，并将侦察结果存储在合法的插件配置文件中，从而使其能够与合法的SolarWinds活动融合。后门使用多个混淆的阻止列表来识别作为进程，服务和驱动程序运行的取证和防病毒工具。

                    图1：带有后门的软件上的SolarWinds数字签名

        从2020年3月至2020年5月，对多个木马更新进行了数字签名，并发布到SolarWinds更新网站，其中包括：

hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

        木马更新文件是标准的Windows Installer补丁文件，其中包括与更新相关联的压缩资源，其中包括木马SolarWinds.Orion.Core.BusinessLayer.dll组件。一旦安装了更新，恶意DLL将由合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe加载（取决于系统配置）。经过长达两周的休眠期后，该恶意软件将尝试解析avsvmcloud [。] com的子域。DNS响应将返回指向命令和控制（C2）域的CNAME记录。到恶意域的C2流量旨在模拟正常的SolarWinds API通信。已知恶意基础结构的列表可在FireEye的GitHub页面上找到。

请参考：

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html?1

本文始发于微信公众号（Khan安全攻防实验室）：FireEye发现Solarwinds供应链攻击