SolarWinds供应链APT攻击事件安全风险的示例分析

  • 背景

12月13日,美国拔尖安全公司FireEye(中文名:火眼)发布报告称,其发现一起全球性入侵活动,命名该组织为UNC2452。该APT组织通过入侵SolarWinds公司,在SolarWinds Orion商业软件更新包中植入恶意代码,进行分发,FireEye称之为SUNBURST恶意软件。该后门包含传输文件、执行文件、分析系统、重启机器和禁用系统服务的能力,从而到达横向移动和数据盗窃的目的。

SolarWinds Orion Platform 是一个强大、可扩展的基础架构监视和管理平台,它用于以单个界面的形式简化本地、混合和软件即服务 (SaaS) 环境的 IT 管理。该平台可对网络设备提供实时监测和分析,并支持定制网页、多种用户意见和对整个网络进行地图式浏览等。

  • 事件概述

12月13日,FireEye披露了将SolarWinds Orion商业软件更新木马化的供应链攻击,Orion软件框架的SolarWinds数字签名组件SolarWinds.Orion.Core.BusinessLayer.dll被插入一个后门,该后门通过HTTP与第三方服务器进行通信。据FireEye所述,该攻击可能较早出现在2020年春季,目前正处于持续攻击状态。攻击者从2020年3月至2020年5月,对多个木马更新进行了数字签名,并发布到SolarWinds更新网站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公开了该后门的特征及检测规则,地址如下:

https://github.com/fireeye/sunburst_countermeasuresSolarWinds供应链APT攻击事件安全风险的示例分析

植入木马的文件为SolarWinds.Orion.Core.BusinessLayer.dll组件,一个标准的Windows 安装程序补丁文件。一旦安装更新包,该恶意的DLL将被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取决于系统配置)程序加载。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion软件框架的一个SolarWinds签名插件组件,其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer类实现了通过HTTP与第三方服务器通信,传输和执行文件、分析系统和禁用系统服务的后门,该后门的网络传输协议伪装为合法的SolarWinds活动以逃避安全工具的检测。SolarWinds供应链APT攻击事件安全风险的示例分析

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind签名,使用序列号为0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的证书。该文件签署于2020年3月24日。SolarWinds供应链APT攻击事件安全风险的示例分析

  • 影响范围

2019.4 HF 5 <= SolarWinds <= 2020.2.1。

  • 解决方案

建议安装了2020年3月至6月之间发布的2019.4-2020.2.1版本SolarWinds Orion平台软件,立即更新至Orion Platform版本2020.2.1HF1版本。

以上就是SolarWinds供应链APT攻击事件安全风险的示例分析的全部内容了,更多与SolarWinds供应链APT攻击事件安全风险的示例分析相关的内容可以搜索亿速云之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下亿速云!

文章标题:SolarWinds供应链APT攻击事件安全风险的示例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/23899

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月8日
下一篇 2022年9月8日

相关推荐

  • 2024年9款优质CRM系统全方位解析

    文章介绍的工具有:纷享销客、Zoho CRM、八百客、红圈通、简道云、简信CRM、Salesforce、HubSpot CRM、Apptivo。 在选择合适的CRM系统时,许多企业面临着功能繁多、选择困难的痛点。对于中小企业来说,找到一个既能提高客户关系管理效率,又能适应业务扩展的CRM系统尤为重要…

    2024年7月25日
    1600
  • 数据库权限关系图表是什么

    数据库权限关系图表是一种以图表形式展示数据库权限分配和管理的工具。它可以有效地帮助我们理解和管理数据库中的各种权限关系。数据库权限关系图表主要包含以下几个部分:数据对象、用户(或用户组)、权限类型、权限级别、权限状态等。其中,数据对象是权限关系图表中的核心元素,它代表了数据库中的各种数据资源,如表、…

    2024年7月22日
    200
  • 诚信数据库是什么意思

    诚信数据库是一种收集、存储和管理个人或组织诚信信息的系统。它是一种用于评估和管理个人或组织行为的工具,通常由政府、商业组织或者非营利组织进行运营。诚信数据库的主要功能包括:1、评估个人或组织的诚信状况;2、提供决策支持;3、预防和控制风险;4、促进社会信用体系建设。 在这四大功能中,评估个人或组织的…

    2024年7月22日
    400
  • 数据库期末关系代数是什么

    关系代数是一种对关系进行操作的代数系统,是关系模型的数学基础,主要用于从关系数据库中检索数据。其操作包括选择、投影、并集、差集、笛卡尔积、连接、除法等。其中,选择操作是对关系中的元组进行筛选,只保留满足某一条件的元组;投影操作则是从关系中选择出一部分属性构造一个新的关系。 一、选择操作 选择操作是关…

    2024年7月22日
    700
  • mysql建立数据库用什么命令

    在MySQL中,我们使用"CREATE DATABASE"命令来创建数据库。这是一个非常简单且基础的命令,其语法为:CREATE DATABASE 数据库名。在这个命令中,“CREATE DATABASE”是固定的,而“数据库名”则是你要创建的数据库的名称,可以自己设定。例如,如…

    2024年7月22日
    500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部