首頁 運維 安全 SolarWinds供應鏈APT攻擊事件安全風險的範例分析

SolarWinds供應鏈APT攻擊事件安全風險的範例分析

May 18, 2023 pm 12:52 PM
apt solarwinds

  • 背景

#12月13日,美國頂尖安全公司FireEye(中文名:火眼)發布報告稱,其發現一起全球性入侵活動,命名該組織為UNC2452。該APT組織透過入侵SolarWinds公司,在SolarWinds Orion商業軟體更新包中植入惡意程式碼,進行分發,FireEye稱之為SUNBURST惡意軟體。此後門包含傳輸檔案、執行檔、分析系統、重新啟動機器和停用系統服務的能力,從而到達橫向移動和資料竊取的目的。

SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平台,它用於以單一介面的形式簡化本地、混合和軟體即服務 (SaaS) 環境的 IT 管理。該平台提供即時監測和分析網路設備的功能,同時支援客製化網頁、多種使用者回饋以及進行整個網路地圖式瀏覽。

  • 事件概述

#12月13日,FireEye揭露了將SolarWinds Orion商業軟體更新木馬化的供應鏈攻擊,Orion軟體框架的SolarWinds數位簽章元件SolarWinds.Orion.Core.BusinessLayer.dll被插入後門,後門透過HTTP與第三方伺服器進行通訊。 FireEye稱,這種攻擊可能在2020年春季首次出現,目前仍在持續進行中。攻擊者從2020年3月至2020年5月,對多個木馬更新進行了數位簽名,並發佈到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。 FireEye已經在GitHub上發布了該後門的特徵和檢測規則,GitHub地址如下:

https://github.com/fireeye/sunburst_countermeasuresSolarWinds供應鏈APT攻擊事件安全風險的範例分析

#植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll元件,一個標準的Windows 安裝程式補丁檔。一旦安裝更新包,該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決於系統設定)程式載入。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟體框架的一個SolarWinds簽章外掛程式元件,其中的SolarWinds.Orion.Core.BusinessLayer.OrnessImL.OrnessIxSjxSfore.BusinessSTPTSrov ,傳輸和執行檔案、分析系統和禁用系統服務的後門,該後門的網路傳輸協定偽裝為合法的SolarWinds活動以逃避安全工具的偵測。 SolarWinds供應鏈APT攻擊事件安全風險的範例分析

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名,使用序號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 34:5d:c0:ed的證書。該文件簽署於2020年3月24日。 SolarWinds供應鏈APT攻擊事件安全風險的範例分析

  • 影響範圍

#2019.4 HF 5

  • 解決方案

#建議安裝了2020年3月至6月之間發佈的2019.4-2020.2.1版本SolarWinds Orion平台軟體,立即更新至Orion Platform版本2020.2.1HF1版本。

以上是SolarWinds供應鏈APT攻擊事件安全風險的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

使用ZoomEye尋找APT攻擊的範例分析 使用ZoomEye尋找APT攻擊的範例分析 May 27, 2023 pm 07:19 PM

ZoomEye線上的數據是覆蓋更新的模式,也就是說第2次掃描如果沒有掃描到數據就不會覆蓋更新數據,ZoomEye上的數據會保留第1次掃描獲取到的banner數據,這個機制在這裡種惡意攻擊溯源裡其實有著很好的場景契合點:惡意攻擊比如Botnet、APT等攻擊使用的下載伺服器被發現後一般都是直接停用拋棄,當然也有一些是被駭的目標,也是很暴力的直接下線!所以很多的攻擊現場很可能就被ZoomEye線上緩存。當然在ZoomEye歷史api裡提供的數據,不管你覆蓋不覆蓋都可以查詢出每次掃描得到的banner數

Linux套件管理工具yum和apt有什麼差別 Linux套件管理工具yum和apt有什麼差別 May 30, 2023 am 09:53 AM

一般來說著名的Linux系統基本上分為兩大類:RedHat系列:Redhat、Centos、Fedora等;Debian系列:Debian、Ubuntu等。 yum(YellowdogUpdater,Modified)是一個在Fedora和RedHat以及SUSE中的Shell前端軟體套件管理器。 apt(AdvancedPackagingTool)是一個在Debian和Ubuntu中的Shell前端軟體套件管理器。概述一般來說著名的Linux系統基本上分為兩大類:RedHat系列:Redhat、Cento

如何進行基於威脅情報週期模型的APT木馬剖析 如何進行基於威脅情報週期模型的APT木馬剖析 May 14, 2023 pm 10:01 PM

關於威脅情報處理週期模型「威脅情報處理週期」(F3EAD)一詞源自於軍事,是美陸軍為主戰兵種各級指揮官設計的組織資源、部署兵力的方法。網路緊急應變中心借鏡這套方法,分以下六個階段處理威脅情報資訊:威脅情報處理週期F3EAD威脅情報處理週期模型的應用第一步:找出某月某日,部署在合作方公有雲伺服器上的「洋蔥」系統警告發現疑似木馬程序,於是應急響應團隊快速啟動應急相應流程:幹係人等一鍵拉群,電話接入。受害系統隔離待查。安全系統、稽核日誌匯出待溯源分析。業務系統架構、程式碼相關資料準備,待分析入侵突破口及受

如何更改Ubuntu的apt-get更新來源? 如何更改Ubuntu的apt-get更新來源? Jan 05, 2024 pm 03:40 PM

手動修改Ubuntu的apt-get來源1、用ssh工具連接到Ubuntu(我用的xshell)2、命令列敲入cd/etc/apt/3、備份此目錄下的source.list檔(要有sudo權限),此時就有了一個source.list.bak檔4、清空source.list檔內容(註:清空後不可恢復,所以需要執行上一步提前備份一下這個檔),此時用sudo提示權限不夠,直接切換到root用戶下執行這條指令5、用vim開啟source.list,按i鍵進入編輯模式把要修改的來源位址貼進來,然後按

deepin系統安裝php8教學。 deepin系統安裝php8教學。 Feb 19, 2024 am 10:50 AM

在Deepin系統上安裝PHP8,您可以按照以下步驟進行操作:更新系統:打開終端,並執行以下命令來更新系統軟體包:sudoaptupdatesudoaptupgrade新增OndřejSurýPPA來源:PHP8可以透過OndřejSurýPPA來源進行安裝。執行下列命令來新增此來源:sudoaptinstallsoftware-properties-commonsudoadd-apt-repositoryppa:ondrej/php更新軟體包清單:執行下列命令來更新軟體包清單以取得PPA來源中的PHP

Ubuntu 20.04系統編譯安裝MySQL5.7教學。 Ubuntu 20.04系統編譯安裝MySQL5.7教學。 Feb 19, 2024 pm 04:57 PM

可以透過使用MySQL官方的APT儲存庫來安裝MySQL5.7。以下是在Ubuntu20.04系統上透過官方APT儲存庫安裝MySQL5.7的步驟:新增MySQLAPT儲存庫:wgethttps://dev.mysql.com/get/mysql-apt-config_0.8.17-1_all.debsudodpkg-imysql -apt-config_0.8.17-1_all.deb在安裝過程中,您將看到一個設定介面。選擇MySQLServer版本為5.7,然後完成設定。更新軟體包列表:sud

Ubuntu 18.04系統編譯安裝Docker教學。 Ubuntu 18.04系統編譯安裝Docker教學。 Feb 19, 2024 pm 02:03 PM

以下是Ubuntu18.04系統編譯安裝Docker的教學課程:卸載舊版Docker(如果已安裝):sudoaptremovedockerdocker-enginedocker.iocontainerdrunc更新系統軟體包:sudoaptupdatesudoaptupgrade安裝Dockeracties:sudoapt-capt-transport-Pet-transport-com官方的GPG金鑰:curl-

Ubuntu系統中找不到yum及安裝方法! Ubuntu系統中找不到yum及安裝方法! Mar 02, 2024 pm 01:07 PM

yum是RedHat系列發行版(如RHEL和CentOS)中的套件管理器,而Ubuntu使用的是另一個套件管理器,名為apt(AdvancedPackageTool)。在Ubuntu系統中,您可以使用apt指令來管理軟體包。以下是在Ubuntu系統中安裝軟體包的基本步驟:更新軟體包索引在執行任何安裝操作之前,首先執行以下命令以更新軟體包索引:sudoaptupdate安裝軟體包使用以下命令來安裝特定的軟體包:sudoaptinstallpackage_name將」package_name&#822

See all articles