SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례
Background
12월 13일, 미국 최고의 보안 회사인 FireEye(중국명: FireEye)는 글로벌 침입 활동을 발견하고 조직 이름을 UNC2452로 명명했다는 보고서를 발표했습니다. APT 조직은 SolarWinds 회사에 침입하여 SolarWinds Orion 상용 소프트웨어 업데이트 패키지에 악성코드를 심고 이를 SUNBURST 악성코드라고 명명하여 배포했습니다. 백도어에는 파일 전송, 파일 실행, 시스템 분석, 시스템 재부팅, 시스템 서비스 비활성화 기능이 포함되어 있어 측면 이동 및 데이터 도난이 가능합니다.
SolarWinds Orion Platform은 단일 인터페이스를 통해 온프레미스, 하이브리드 및 SaaS(Software-as-a-Service) 환경의 IT 관리를 단순화하도록 설계된 강력하고 확장 가능한 인프라 모니터링 및 관리 플랫폼입니다. 플랫폼은 네트워크 장비에 대한 실시간 모니터링 및 분석을 제공하며, 맞춤형 웹 페이지, 다양한 사용자 피드백, 전체 네트워크의 지도 탐색을 지원합니다.
사고 개요
12월 13일, FireEye는 SolarWinds Orion 비즈니스 소프트웨어 업데이트, Orion 소프트웨어 프레임워크의 SolarWinds 디지털 서명 구성 요소 SolarWinds.Orion.Core.BusinessLayer를 트로이 목마화한 공급망 공격을 공개했습니다. HTTP를 통해 제3자 서버와 통신하는 백도어가 삽입되어 있습니다. FireEye는 이러한 유형의 공격이 2020년 봄에 처음 나타났을 수 있으며 여전히 진행 중이라고 말했습니다. 2020년 3월부터 5월까지 공격자는 여러 트로이 목마 업데이트에 디지털 서명을 하고 이를 hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core를 포함한 SolarWinds 업데이트 웹사이트에 게시했습니다. -v2019.4.5220-Hotfix5.msp. FireEye는 GitHub에 백도어의 특징과 탐지 규칙을 공개했습니다. GitHub 주소는 다음과 같습니다.
https://github.com/fireeye/sunburst_countermeasures
트로이 목마가 심어진 파일은 SolarWinds.Orion.Core입니다. 표준 Windows Installer 패치 파일인 BusinessLayer.dll 구성 요소. 업데이트 패키지가 설치되면 합법적인 SolarWinds.BusinessLayerHost.exe 또는 SolarWinds.BusinessLayerHostx64.exe(시스템 구성에 따라 다름) 프로그램에 의해 악성 DLL이 로드됩니다.
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)은 Orion 소프트웨어 프레임워크의 SolarWinds 서명 플러그인 구성 요소입니다. SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer 클래스는 타사 서버와의 통신, 전송 및 실행을 구현합니다. HTTP를 통해 시스템을 기록하고 분석하며 시스템 서비스를 비활성화합니다. 백도어의 네트워크 전송 프로토콜은 보안 도구의 탐지를 피하기 위해 합법적인 SolarWinds 활동으로 위장합니다. 
SolarWinds.Orion.Core.BusinessLayer.dll은 일련 번호 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0을 사용하여 Solarwind에 의해 서명됩니다. 교육 증명서. 이 문서는 2020년 3월 24일에 서명되었습니다. 
영향 범위
2019.4 HF 5
솔루션
2020년 3월~6월 사이에 출시된 SolarWinds Orion 플랫폼 소프트웨어 2019.4-2020.2.1 버전을 설치하시고, 즉시 Orion 플랫폼 버전 2020.2.1HF1 버전으로 업데이트하는 것을 권장합니다. .
위 내용은 SolarWinds 공급망 APT 공격 사건의 보안 위험 분석 사례의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7535
15
1379
52
82
11
55
19
21
86
ZoomEye를 활용한 APT 공격 탐지 사례 분석
May 27, 2023 pm 07:19 PM
ZoomEye의 온라인 데이터는 덮어쓰기 및 업데이트 모드입니다. 즉, 두 번째 스캔에서 데이터가 스캔되지 않으면 ZoomEye의 데이터는 첫 번째 스캔에서 얻은 배너 데이터를 유지합니다. 실제로 이런 종류의 악성 공격을 추적할 수 있는 좋은 장면이 있습니다. Botnet, APT 및 기타 공격과 같은 악성 공격에 사용되는 다운로드 서버는 일반적으로 발견된 후 직접 비활성화되고 폐기됩니다. 물론 일부는 해킹됩니다. 그리고 그들은 또한 매우 폭력적입니다. 직접 오프라인으로 전환하세요! 따라서 많은 공격 사이트가 ZoomEye에 의해 온라인으로 캐시될 가능성이 높습니다. 물론 ZoomEye 히스토리 API에서 제공되는 데이터를 사용하면 커버 여부에 관계없이 각 스캔에서 얻은 배너 수를 쿼리할 수 있습니다.
Linux 패키지 관리 도구 yum과 apt의 차이점은 무엇입니까?
May 30, 2023 am 09:53 AM
일반적으로 유명한 Linux 시스템은 기본적으로 RedHat 시리즈: Redhat, Centos, Fedora 등 Debian 시리즈: Debian, Ubuntu 등 두 가지 범주로 나뉩니다. yum(YellowdogUpdater, Modified)은 Fedora, RedHat 및 SUSE의 Shell 프런트엔드 패키지 관리자입니다. apt(AdvancedPackagingTool)는 Debian 및 Ubuntu의 쉘 프런트엔드 패키지 관리자입니다. 개요 일반적으로 유명한 Linux 시스템은 기본적으로 RedHat 시리즈: Redhat, Cento의 두 가지 범주로 나뉩니다.
위협 인텔리전스 주기 모델을 기반으로 APT 트로이 목마를 분석하는 방법
May 14, 2023 pm 10:01 PM
위협 정보 처리 주기 모델에 대하여 F3EAD(위협 정보 처리 주기)라는 용어는 군대에서 유래되었습니다. 이는 미 육군의 주요 전투 무기의 모든 수준에서 지휘관이 설계한 자원을 조직하고 병력을 배치하는 방법입니다. 네트워크 비상대응센터는 이 방법을 활용해 위협 인텔리전스 정보를 다음 6단계로 처리한다. 위협 인텔리전스 처리 주기 F3EAD 위협 인텔리전스 처리 주기 모델 적용 1단계: 특정 월의 날짜를 찾아 파트너 공개에 배포한다. 클라우드 서버 '어니언' 시스템 알람으로 의심되는 트로이목마 프로그램이 발견되자 비상대응팀은 신속히 비상대응 프로세스를 시작했다. 클릭 한 번으로 이해관계자 등이 그룹을 모아 호출했다. 피해자 시스템은 조사를 위해 격리되었습니다. 추적성 분석을 위해 보안 시스템과 감사 로그를 내보냅니다. 침입사고 및 피해자 분석을 위한 비즈니스 시스템 아키텍처 및 코드 관련 정보 준비
Deepin 시스템에 php8을 설치하는 방법에 대한 튜토리얼입니다.
Feb 19, 2024 am 10:50 AM
Deepin 시스템에 PHP8을 설치하려면 아래 단계를 따르십시오. 시스템 업데이트: 터미널을 열고 다음 명령을 실행하여 시스템 패키지를 업데이트하십시오. sudoaptupdatesudoaptupgrade Ondřej SurýPPA 소스 추가: PHP8은 Ondřej SurýPPA 소스를 통해 설치할 수 있습니다. 다음 명령을 실행하여 소스를 추가합니다: sudoaptinstallsoftware-properties-commonsudoadd-apt-repositoryppa:ondrej/php 패키지 목록 업데이트: 다음 명령을 실행하여 패키지 목록을 업데이트하여 PPA 소스에서 PHP를 가져옵니다.
Ubuntu의 apt-get 업데이트 소스를 변경하는 방법은 무엇입니까?
Jan 05, 2024 pm 03:40 PM
Ubuntu의 apt-get 소스를 수동으로 수정합니다. 1. ssh 도구를 사용하여 Ubuntu에 연결합니다(저는 xshell을 사용합니다). 2. 명령줄에 cd/etc/apt/3을 입력하고 이 디렉터리에 source.list 파일을 백업합니다(필자는 4. source.list 파일 내용을 지웁니다(참고: 지운 후에는 복원할 수 없으므로 파일을 백업하려면 이전 단계를 수행해야 합니다). 5. vim을 사용하여 source.list를 열고 i 키를 눌러 편집 모드로 들어가서 소스를 붙여넣습니다. 수정할 주소를 누른 다음
Ubuntu 18.04 시스템에서 Docker를 컴파일하고 설치하는 방법에 대한 튜토리얼입니다.
Feb 19, 2024 pm 02:03 PM
다음은 Ubuntu18.04 시스템에서 Docker를 컴파일하고 설치하기 위한 자습서입니다. 이전 버전의 Docker 제거(이미 설치된 경우): sudoaptremovedockerdocker-enginedocker.iocontainerdrunc 시스템 패키지 업데이트: sudoaptupdatesudoaptupgrade Docker 종속성 설치: sudoaptinstallapt-transport-httpsca-certificatescurlsoftware- 속성-공통Docker 공식 GPG 키 추가: 컬-
Ubuntu 20.04 시스템에서 MySQL5.7을 컴파일하고 설치하는 방법에 대한 튜토리얼입니다.
Feb 19, 2024 pm 04:57 PM
MySQL 5.7은 공식 MySQL APT 저장소를 사용하여 설치할 수 있습니다. 다음은 Ubuntu20.04 시스템의 공식 APT 저장소를 통해 MySQL5.7을 설치하는 단계입니다. MySQLAPT 저장소를 추가합니다: wgethttps://dev.mysql.com/get/mysql-apt-config_0.8.17-1_all.debsudodpkg- imysql -apt-config_0.8.17-1_all.deb 설치 과정에서 구성 인터페이스가 표시됩니다. MySQLServer 버전을 5.7로 선택한 후 구성을 완료합니다. 업데이트 패키지 목록: sud
Ubuntu 시스템에서 yum 및 설치 방법을 찾을 수 없습니다!
Mar 02, 2024 pm 01:07 PM
yum은 RedHat 시리즈 배포판(예: RHEL 및 CentOS)의 패키지 관리자인 반면 Ubuntu는 apt(AdvancedPackageTool)라는 또 다른 패키지 관리자를 사용합니다. Ubuntu 시스템에서는 apt 명령을 사용하여 소프트웨어 패키지를 관리할 수 있습니다. 다음은 Ubuntu 시스템에 패키지를 설치하는 기본 단계입니다. 패키지 색인 업데이트 설치 작업을 수행하기 전에 먼저 다음 명령을 실행하여 패키지 색인을 업데이트하십시오. sudoaptupdate 패키지 설치 특정 패키지를 설치하려면 다음 명령을 사용하십시오. sudoaptinstallpackage_name은 "package_name&"입니다. #822
