SolarWinds供應鏈APT攻擊事件安全風險的範例分析
背景
#12月13日,美國頂尖安全公司FireEye(中文名:火眼)發布報告稱,其發現一起全球性入侵活動,命名該組織為UNC2452。該APT組織透過入侵SolarWinds公司,在SolarWinds Orion商業軟體更新包中植入惡意程式碼,進行分發,FireEye稱之為SUNBURST惡意軟體。此後門包含傳輸檔案、執行檔、分析系統、重新啟動機器和停用系統服務的能力,從而到達橫向移動和資料竊取的目的。
SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平台,它用於以單一介面的形式簡化本地、混合和軟體即服務 (SaaS) 環境的 IT 管理。該平台提供即時監測和分析網路設備的功能,同時支援客製化網頁、多種使用者回饋以及進行整個網路地圖式瀏覽。
事件概述
#12月13日,FireEye揭露了將SolarWinds Orion商業軟體更新木馬化的供應鏈攻擊,Orion軟體框架的SolarWinds數位簽章元件SolarWinds.Orion.Core.BusinessLayer.dll被插入後門,後門透過HTTP與第三方伺服器進行通訊。 FireEye稱,這種攻擊可能在2020年春季首次出現,目前仍在持續進行中。攻擊者從2020年3月至2020年5月,對多個木馬更新進行了數位簽名,並發佈到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/ 2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。 FireEye已經在GitHub上發布了該後門的特徵和檢測規則,GitHub地址如下:
https://github.com/fireeye/sunburst_countermeasures
#植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll元件,一個標準的Windows 安裝程式補丁檔。一旦安裝更新包,該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決於系統設定)程式載入。
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟體框架的一個SolarWinds簽章外掛程式元件,其中的SolarWinds.Orion.Core.BusinessLayer.OrnessImL.OrnessIxSjxSfore.BusinessSTPTSrov ,傳輸和執行檔案、分析系統和禁用系統服務的後門,該後門的網路傳輸協定偽裝為合法的SolarWinds活動以逃避安全工具的偵測。
SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名,使用序號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e: 34:5d:c0:ed的證書。該文件簽署於2020年3月24日。
影響範圍
#2019.4 HF 5
解決方案
#建議安裝了2020年3月至6月之間發佈的2019.4-2020.2.1版本SolarWinds Orion平台軟體,立即更新至Orion Platform版本2020.2.1HF1版本。
以上是SolarWinds供應鏈APT攻擊事件安全風險的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3漢化版
中文版,非常好用

禪工作室 13.0.1
強大的PHP整合開發環境

Dreamweaver CS6
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

ZoomEye線上的數據是覆蓋更新的模式,也就是說第2次掃描如果沒有掃描到數據就不會覆蓋更新數據,ZoomEye上的數據會保留第1次掃描獲取到的banner數據,這個機制在這裡種惡意攻擊溯源裡其實有著很好的場景契合點:惡意攻擊比如Botnet、APT等攻擊使用的下載伺服器被發現後一般都是直接停用拋棄,當然也有一些是被駭的目標,也是很暴力的直接下線!所以很多的攻擊現場很可能就被ZoomEye線上緩存。當然在ZoomEye歷史api裡提供的數據,不管你覆蓋不覆蓋都可以查詢出每次掃描得到的banner數

一般來說著名的Linux系統基本上分為兩大類:RedHat系列:Redhat、Centos、Fedora等;Debian系列:Debian、Ubuntu等。 yum(YellowdogUpdater,Modified)是一個在Fedora和RedHat以及SUSE中的Shell前端軟體套件管理器。 apt(AdvancedPackagingTool)是一個在Debian和Ubuntu中的Shell前端軟體套件管理器。概述一般來說著名的Linux系統基本上分為兩大類:RedHat系列:Redhat、Cento

關於威脅情報處理週期模型「威脅情報處理週期」(F3EAD)一詞源自於軍事,是美陸軍為主戰兵種各級指揮官設計的組織資源、部署兵力的方法。網路緊急應變中心借鏡這套方法,分以下六個階段處理威脅情報資訊:威脅情報處理週期F3EAD威脅情報處理週期模型的應用第一步:找出某月某日,部署在合作方公有雲伺服器上的「洋蔥」系統警告發現疑似木馬程序,於是應急響應團隊快速啟動應急相應流程:幹係人等一鍵拉群,電話接入。受害系統隔離待查。安全系統、稽核日誌匯出待溯源分析。業務系統架構、程式碼相關資料準備,待分析入侵突破口及受

手動修改Ubuntu的apt-get來源1、用ssh工具連接到Ubuntu(我用的xshell)2、命令列敲入cd/etc/apt/3、備份此目錄下的source.list檔(要有sudo權限),此時就有了一個source.list.bak檔4、清空source.list檔內容(註:清空後不可恢復,所以需要執行上一步提前備份一下這個檔),此時用sudo提示權限不夠,直接切換到root用戶下執行這條指令5、用vim開啟source.list,按i鍵進入編輯模式把要修改的來源位址貼進來,然後按

在Deepin系統上安裝PHP8,您可以按照以下步驟進行操作:更新系統:打開終端,並執行以下命令來更新系統軟體包:sudoaptupdatesudoaptupgrade新增OndřejSurýPPA來源:PHP8可以透過OndřejSurýPPA來源進行安裝。執行下列命令來新增此來源:sudoaptinstallsoftware-properties-commonsudoadd-apt-repositoryppa:ondrej/php更新軟體包清單:執行下列命令來更新軟體包清單以取得PPA來源中的PHP

可以透過使用MySQL官方的APT儲存庫來安裝MySQL5.7。以下是在Ubuntu20.04系統上透過官方APT儲存庫安裝MySQL5.7的步驟:新增MySQLAPT儲存庫:wgethttps://dev.mysql.com/get/mysql-apt-config_0.8.17-1_all.debsudodpkg-imysql -apt-config_0.8.17-1_all.deb在安裝過程中,您將看到一個設定介面。選擇MySQLServer版本為5.7,然後完成設定。更新軟體包列表:sud

以下是Ubuntu18.04系統編譯安裝Docker的教學課程:卸載舊版Docker(如果已安裝):sudoaptremovedockerdocker-enginedocker.iocontainerdrunc更新系統軟體包:sudoaptupdatesudoaptupgrade安裝Dockeracties:sudoapt-capt-transport-Pet-transport-com官方的GPG金鑰:curl-

yum是RedHat系列發行版(如RHEL和CentOS)中的套件管理器,而Ubuntu使用的是另一個套件管理器,名為apt(AdvancedPackageTool)。在Ubuntu系統中,您可以使用apt指令來管理軟體包。以下是在Ubuntu系統中安裝軟體包的基本步驟:更新軟體包索引在執行任何安裝操作之前,首先執行以下命令以更新軟體包索引:sudoaptupdate安裝軟體包使用以下命令來安裝特定的軟體包:sudoaptinstallpackage_name將」package_name̶
