Latar Belakang
Pada 13 Disember, FireEye, syarikat keselamatan terkemuka di Amerika Syarikat (Cina nama: Fire Eye) Mengeluarkan laporan yang menyatakan bahawa ia telah menemui aktiviti pencerobohan global dan menamakan organisasi itu UNC2452. Organisasi APT menceroboh SolarWinds, menanam kod hasad dalam pakej kemas kini perisian komersial SolarWinds Orion dan mengedarkannya FireEye memanggilnya sebagai perisian hasad SUNBURST. Pintu belakang mengandungi keupayaan untuk memindahkan fail, melaksanakan fail, menganalisis sistem, but semula mesin dan melumpuhkan perkhidmatan sistem, membolehkan pergerakan sisi dan kecurian data.
SolarWinds Orion Platform ialah platform pemantauan dan pengurusan infrastruktur yang berkuasa dan berskala yang direka untuk memudahkan pengurusan IT bagi persekitaran di premis, hibrid dan Perisian sebagai Perkhidmatan (SaaS) dengan antara muka tunggal. Platform ini menyediakan pemantauan dan analisis masa nyata peralatan rangkaian, dan menyokong halaman web yang disesuaikan, pelbagai maklum balas pengguna, dan menyemak imbas peta seluruh rangkaian.
Gambaran Keseluruhan Acara
Pada 13 Disember, FireEye mendedahkan bahawa SolarWinds Orion akan dikomersialkan Dalam kemas kini perisian Serangan rantaian bekalan tertrojan, komponen tandatangan digital SolarWinds rangka kerja perisian Orion, SolarWinds.Orion.Core.BusinessLayer.dll, dimasukkan ke dalam pintu belakang yang berkomunikasi dengan pelayan pihak ketiga melalui HTTP. FireEye berkata serangan jenis ini mungkin pertama kali muncul pada musim bunga 2020 dan masih berterusan. Dari Mac hingga Mei 2020, penyerang menandatangani berbilang kemas kini Trojan secara digital dan menerbitkannya ke tapak web kemas kini SolarWinds, termasuk hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core -v2019.4.5220-Hotfix5.msp. FireEye telah mengeluarkan ciri dan peraturan pengesanan pintu belakang pada GitHub Alamat GitHub adalah seperti berikut:
https://github.com/fireeye/sunburst_countermeasures
Fail dengan implan. Trojan Untuk komponen SolarWinds.Orion.Core.BusinessLayer.dll, fail tampung pemasang Windows standard. Setelah pakej kemas kini dipasang, DLL berniat jahat akan dimuatkan oleh program SolarWinds.BusinessLayerHost.exe atau SolarWinds.BusinessLayerHostx64.exe yang sah (bergantung pada konfigurasi sistem).
SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) ialah komponen pemalam tandatangan SolarWinds bagi rangka kerja perisian Orion The SolarWinds.Orion.Core.BusionnessLayerement classes communicationsLayerementLayerement. melalui HTTP, pintu belakang yang memindahkan dan melaksanakan fail, menganalisis sistem dan melumpuhkan perkhidmatan sistem Protokol pemindahan rangkaian pintu belakang menyamar sebagai aktiviti SolarWinds yang sah untuk mengelakkan pengesanan oleh alat keselamatan.
SolarWinds.Orion.Core.BusinessLayer.dll ditandatangani oleh solarwind dengan nombor siri 0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: Sijil daripada 34:5d:c0:ed. Dokumen itu ditandatangani pada 24 Mac 2020.
Skop Kesan
2019.4 HF 5
Penyelesaian
Disyorkan untuk dipasang antara Mac dan Jun 2020 Keluaran 2019.4-2020.2 Versi .1 perisian platform SolarWinds Orion akan dikemas kini dengan serta-merta kepada Platform Orion versi 2020.2.1HF1.
Atas ialah kandungan terperinci Contoh Analisis Risiko Keselamatan Insiden Serangan APT Rantaian Bekalan SolarWinds. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!