威胁研究正文

腾讯安全对SolarWinds供应链攻击事件的技术分析及产品应对

2020-12-14 13:25:27

2020年12月13日,据海外媒体报告,某黑客组织掌控了美财政部电子邮件系统进行间谍活动。攻击者通过暗中篡改IT公司SolarWinds发布的软件更新而获得的,该公司为美政府客户提供服务。该技巧通常称为“供应链攻击”,其作用是将恶意代码隐藏在第三方提供给目标的合法软件包内投放。腾讯安全正密切关注该事件,已对该事件进行应急响应。

一、事件背景

20201213日,据海外媒体报告,某黑客组织掌控了美财政部电子邮件系统进行间谍活动(Suspected Russian hackers spied on U.S. Treasury emails - sources

知情人士称,该黑客组织一直在监视美财政部、商务部的内部电子邮件流量。并表示,到目前为止发现的黑客攻击可能只是冰山一角,白宫于上周六召开国家安全委员会会议讨论此问题。腾讯安全正密切关注该事件,已对该事件进行应急响应。

据外媒报告,网络间谍通过暗中篡改IT公司SolarWinds发布的软件更新而获得的,该公司为美政府客户提供服务。该技巧通常称为供应链攻击,其作用是将恶意代码隐藏在第三方提供给目标的合法软件包内投放。

相关新闻报告后不久,国外知名的安全公司fireeye发布了分析报告《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》,详细披露了该攻击事件的技术细节以及检测规则。Fireeye把本次攻击行动命名为UNC2452,传播的后门被命名为SUNBURST

(以下为Fireeye研究报告机翻截图)。


二、事件详情

SolarWind是著名的IT管理软件和远程监控工具,具有广泛的用户群体。客户包括了财富美国500Fortune 500)企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局,以及美国总统办公室等。

攻击者通过修改文件SolarWinds.Orion.Core.BusinessLayer.dll,并且给文件打上了Solarwinds WorldwideLLC的数字签名,以此来绕过检测。该dll会被Orion平台通过 SolarWind.BusinessLayerHost.exeSolarWinds.BusinessLayerHostx64.exe来进行加载(取决于系统配置)。


被替换的SolarWinds.Orion.Core.BusinessLayer.dll模块新增加了一个木马功能类,信息如下:


然后根据不同的三级域名加DGACNAME查询:


得到cname回复,证明C2存活后才执行命令控制:


相应的C2指令和功能如下(根据fireeye报告):


而被替换的App_Web_logoimagehandler.ashx.b6031896.dll插件新增了一个DynamicRun方法,用于从http中执行相关命令:

三、影响范围

根据SolarWinds官方发布安全公告,SolarWinds Orion平台软件在20203月至6月之间发布的2019.4 - 2020.2.1版本都受到了供应链攻击的影响,这些版本的安装包内存在恶意的后门应用程序。

此外,根据腾讯安全威胁情报中心检测,该攻击受影响的用户不仅限于美国,也包括欧洲、亚洲、中东等,SolarWinds Orion平台软件在中国内地也有部分用户。

四、解决方案

腾讯安全专家建议使用SolarWinds Orion平台软件的用户检测是否安装2019.4 - 2020.2.1版,建议尽快升级到 2020.2.1 HF2。目前,腾讯全系产品都已经支持本次供应链攻击的检测。

腾讯安全根据相关资料披露的信息对该后门在中国的影响进行评估,已证实国内有部分企业受此后门影响。目前腾讯安全全系列产品已针对该事件进行应急响应,响应清单如下:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1SUNBURST后门相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1SUNBURST后门相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持SUNBURST后门关联的IOCs已支持识别检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

已支持查杀SUNBURST后门;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

支持检测SUNBURST后门相关样本。

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界访问控制系统
iOA

已支持查杀SUNBURST后门相关样本。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与零信任理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

五、总结

供应链攻击,已经成为APT攻击中的常用攻击手段,该攻击方法攻击隐蔽,检测困难,且危害极大。近些年来被披露的供应链攻击也越来越多,攻击越来越频繁,包括xcodeccleanershadowhammer、驱动人生事件等等。

因此我们建议相关企业,如软件提供商、设备提供商等等供应链企业,务必提升自我的安全能力,保障供应链的安全。

值得注意是,本次通过SolarWind供应链攻击的事件跟上周曝光的fireeye被黑客入侵并被曝光武器库的事件是否存在一定的关联?目前还不得而知。因为暂时未发现直接的证据。我们也会持续的跟踪和分析相应的情报。

IOCs

MD5
846e27a652a5e1bfbd0ddd38a16dc865
2c4a910a1299cdae2a4e55988a2f102e
56ceb6d0011d87b6e4d7023d7ef85676

Domain

6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud [] com

7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud [] com

gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud [] com

ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud [] com

k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud [] com

mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud [] com 

deftsecurity [] com

freescanonline [] com

thedoccloud [] com

websitetheme [] com

highdatabase [] com

Incomeupdate [] com

databasegalore [] com

panhardware [] com

zupertech [] com

IP

13.59.205.66

54.193.127.66

54.215.192.52

34.203.203.23

139.99.115.204

5.252.177.25

5.252.177.21

204.188.205.176

51.89.125.18

167.114.213.199

 

参考链接:

1.https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

2.https://www.solarwinds.com/securityadvisory

3.https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG


在线咨询