1、 背景
12月13日,美國頂級安全公司FireEye(中文名:火眼)發佈報告稱,其發現一起全球性入侵活動,命名該組織爲UNC2452。該APT組織通過入侵SolarWinds公司,在SolarWinds Orion商業軟件更新包中植入惡意代碼,進行分發,FireEye稱之爲SUNBURST惡意軟件。該後門包含傳輸文件、執行文件、分析系統、重啓機器和禁用系統服務的能力,從而到達橫向移動和數據盜竊的目的。
SolarWinds Orion Platform 是一個強大、可擴展的基礎架構監視和管理平臺,它用於以單個界面的形式簡化本地、混合和軟件即服務 (SaaS) 環境的 IT 管理。該平臺可對網絡設備提供實時監測和分析,並支持定製網頁、多種用戶意見和對整個網絡進行地圖式瀏覽等。
2、事件概述
12月13日,FireEye披露了將SolarWinds Orion商業軟件更新木馬化的供應鏈攻擊,Orion軟件框架的SolarWinds數字簽名組件SolarWinds.Orion.Core.BusinessLayer.dll被插入一個後門,該後門通過HTTP與第三方服務器進行通信。據FireEye所述,該攻擊可能最早出現在2020年春季,目前正處於持續攻擊狀態。攻擊者從2020年3月至2020年5月,對多個木馬更新進行了數字簽名,併發布到SolarWinds更新網站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公開了該後門的特徵及檢測規則,地址如下:
https://github.com/fireeye/sunburst_countermeasures
植入木馬的文件爲SolarWinds.Orion.Core.BusinessLayer.dll組件,一個標準的Windows 安裝程序補丁文件。一旦安裝更新包,該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決於系統配置)程序加載。
SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架的一個SolarWinds簽名插件組件,其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer類實現了通過HTTP與第三方服務器通信,傳輸和執行文件、分析系統和禁用系統服務的後門,該後門的網絡傳輸協議僞裝爲合法的SolarWinds活動以逃避安全工具的檢測。
SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名,使用序列號爲0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的證書。該文件簽署於2020年3月24日。
3、 影響範圍
2019.4 HF 5 <= SolarWinds <= 2020.2.1。
4、解決方案
建議安裝了2020年3月至6月之間發佈的2019.4-2020.2.1版本SolarWinds Orion平臺軟件,立即更新至Orion Platform版本2020.2.1HF1版本。
5、參考鏈接