kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 黄雀在后?SolarWinds供应链攻击曝出第二个后门

黄雀在后?SolarWinds供应链攻击曝出第二个后门

2020-12-23
来源:安全牛
关键词: SolarWinds 供应链

微信图片_20201223140505.jpg

在紧锣密鼓,日以继夜分析SolarWindsOrion供应链攻击时,安全研究人员发现了另一个后门,而这个后门很可能来自另外一个高级威胁组织(APT),换而言之,SolarWinds可能被至少两个APT组织渗透,而且两个组织很有可能并非合作关系。

  “日爆”之后还有“超新星”

  最初发现的Orion后门被FireEye命名为SUNBURST(日爆),这个最新发现的恶意软件名为SUPERNOVA(超新星),从字面上看起来比“日爆”威力还大。SUPERNOVA是一个植入Orion网络和应用程序监视平台代码中的Webshell,使攻击者能够在运行木马版Orion的计算机上运行任意代码。

  根据派拓网络(Palo Alto Networks)的调查,该Webshell是SolarWinds Orion软件中存在的合法。NET库(app_web_logoimagehandler.ashx.b6031896.dll)的木马变体,攻击者对其进行了修改,使其可以逃避自动防御机制。

  Orion软件使用DLL公开HTTP API,从而允许主机在查询特定GIF图像时响应其他子系统。

  派拓网络高级安全研究员Matt Tennis指出:SUPERNOVA背后的黑客手法极为巧妙,在合法DLL文件中植入的代码质量非常高,以至于即使是人工审核分析代码也很难发现。

  分析表明,攻击者在合法的SolarWinds文件中添加了四个新参数,以接收来自命令和控制(C2)服务器的指令。

  恶意代码仅包含一种方法——DynamicRun,该方法可将参数动态编译到内存中的。NET程序集中,因此不会在受感染设备的磁盘上留下任何痕迹。

微信图片_20201223140534.jpg

  资料来源:Palo Alto Networks

  这样,攻击者可以将任意代码发送到受感染的设备,并在用户的上下文中运行该代码,目标用户通常在网络上具有较高的特权和可见性。

  目前,SUPERNOVA恶意软件样本已被上传到VirusTotal,可被69个防病毒引擎中的55个检测到。

  目前尚不清楚SUPERNOVA在Orion软件中存在了多久,但Intezer的恶意软件分析系统显示其编译时间戳为2020年3月24日。

黄雀在后?

  根据调查的结果,SUPERNOVA出自一个高级黑客组织之手,该组织将Webshell攻击技术提升到了一个新的高度。

  “尽管。NET Webshell相当常见,但大多数公开研究的样本都只是接受命令和控制(C2)参数,并执行一些相对浅层次的利用。”Tennis说。

  研究人员补充说,SUPERNOVA不同寻常之处在于,能以有效的。NET程序作为参数并执行内存中的代码,除初始C2请求之外,不再需要其他网络回调。

  而大多数Webshell需要在运行时环境中运行载荷,或通过调用诸如CMD、PowerShell或Bash之类的子Shell或进程。

  微软认为,与入侵网络安全公司FireEye和美国政府多个部门的攻击者相比,SUPERNOVA可能是另一个独立的高级威胁组织的“作品”。

  微软在事件调查安全咨文中指出:“事情出现了有趣的转折,业界调查SolarWinds Orion(SUNBURST,微软称之为Solarigate)后门时却发现了另一个后门(恶意软件),而且该恶意软件也入侵了SolarWinds Orion产品,但很可能与本次SolarWinds供应链攻击(及其背后的攻击者)无关,是另外一个攻击者的工具。”

  微软的判断依据是,SUPERNOVA没有数字签名,这与最初发现的SunBurst/Solarigate木马化了的SolarWinds.Orion.Core.BusinessLayer.Dll库不同。

  目前,上述网络安全公司尚未给出两种恶意软件的归因定论,但认定都是出自APT组织之手。

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map