黄雀在后?SolarWinds供应链攻击曝出第二个后门
source link: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA%3D%3D&%3Bmid=2651095472&%3Bidx=1&%3Bsn=cf1ca3953aa6d4e954c95459181f16a4
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
点击蓝字关注我们
在紧锣密鼓,日以继夜分析SolarWinds Orion供应链攻击时,安全研究人员发现了另一个后门,而这个后门很可能来自另外一个高级威胁组织(APT),换而言之,SolarWinds可能被至少两个APT组织渗透,而且两个组织很有可能并非合作关系。
“日爆”之后还有“超新星”
最初发现的Orion后门被FireEye命名为SUNBURST(日爆),这个最新发现的恶意软件名为SUPERNOVA(超新星),从字面上看起来比“日爆”威力还大。SUPERNOVA是一个植入Orion网络和应用程序监视平台代码中的 W ebshell ,使攻击者能够在运行木马版Orion的计算机上运行任意代码。
根据派拓网络(Palo Alto Networks)的调查,该Webshell是SolarWinds Orion软件中存在的合法.NET库(app_web_logoimagehandler.ashx.b6031896.dll)的木马变体,攻击者对其进行了修改,使其可以逃避自动防御机制。
Orion软件使用DLL公开HTTP API,从而允许主机在查询特定GIF图像时响应其他子系统。
派拓网络高级安全研究员Matt Tennis指出:SUPERNOVA背后的黑客手法极为巧妙,在合法DLL文件中植入的代码质量非常高,以至于即使是人工审核分析代码也很难发现。
分析表明,攻击者在合法的SolarWinds文件中添加了四个新参数,以接收来自命令和控制(C2)服务器的指令。
恶意代码仅包含一种方法——DynamicRun,该方法可将参数动态编译到内存中的.NET程序集中,因此不会在受感染设备的磁盘上留下任何痕迹。
资料来源:Palo Alto Networks
这样,攻击者可以将任意代码发送到受感染的设备,并在用户的上下文中运行该代码,目标用户通常在网络上具有较高的特权和可见性。
目前,SUPERNOVA恶意软件样本已被上传到VirusTotal,可被69个防病毒引擎中的55个检测到。
目前尚不清楚SUPERNOVA在Orion软件中存在了多久,但Intezer的恶意软件分析系统显示其编译时间戳为2020年3月24日。
黄雀在后?
根据调查的结果, SUPERNOVA出自一个高级黑客组织之手,该组织将Webshell攻击技术提升到了一个新的高度。
“尽管.NET Webshell相当常见,但大多数公开研究的样本都只是接受命令和控制(C2)参数,并执行一些相对浅层次的利用。”Tennis说。
研究人员补充说,SUPERNOVA不同寻常之处在于,能以有效的.NET程序作为参数并执行内存中的代码,除初始C2请求之外,不再需要其他网络回调。
而大多数 W ebshell 需要在运行时环境中运行载荷,或通过调用诸如CMD、PowerShell或Bash之类的子Shell或进程。
微软认为,与入侵网络安全公司FireEye和美国政府多个部门的攻击者相比,SUPERNOVA可能是另一个独立的高级威胁组织的“作品”。
微软在事件调查安全咨文中指出: “事情出现了有趣的转折,业界调查SolarWinds Orion(SUNBURST,微软称之为Solarigate)后门时却发现了另一个后门(恶意软件),而且该恶意软件也入侵了SolarWinds Orion产品,但很可能与本次SolarWinds供应链攻击(及其背后的攻击者)无关,是另外一个攻击者的工具。”
微软的判断依据是,SUPERNOVA没有数字签名,这与最初发现的SunBurst/Solarigate木马化了的SolarWinds.Orion.Core.BusinessLayer.Dll库不同。
目前,上述网络安全公司尚未给出两种恶意软件的归因定论,但认定都是出自APT组织之手。
参考资料
SUPERNOVA:A Novel.NET Webshell
https://unit42.paloaltonetworks.com/solarstorm-supernova/
SolarWinds供应链攻击Solorigate恶意DLL文件分析:
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
Recommend
-
82
solidot新版网站常见问题,请点击这里查看。 提交文章 ...
-
143
新浪科技讯北京时间11月29日凌晨消息,苹果公司最新的macOS系统出现严重漏洞,用户仅输入“root”作为用户名即可进入系统,这意味着你不需要密码即可解锁进入一台安装了macOSHighSierra系统的苹果电脑。用户只需进入“系统偏好”
-
47
无人货架上的“战争”将在2018年分出胜负,以现在的情况看来,拥有更多资源、擅长“开源节流”的大块头饿了么入局虽晚,但或许会有更长的生命力。
-
8
攻击JavaWeb应用[8]-后门篇 园长 ·
-
3
微软证实黑客对 SolarWinds 的供应链攻击它也是受害者 WinterIsComing (31822)发...
-
4
0x01 事件描述 2020年12月,FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。这次网络攻击具有一定程度的复杂性,导致外国政府迅速介入,这次攻击中的战术和技术细节非常出色。攻击...
-
5
距离攻击事件曝光过去了23天。美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。不到一个月时间,SolarWinds供应链APT攻击事件的受害者名单一再曝出,美、英、俄罗斯各国政府及相关企...
-
3
从供应链漏洞网络攻击看SolarWinds“以设计确保安全”化解危机 作者:李祥敬 【原创】 2021-06-21 21:28:17关键字: SolarWinds...
-
3
知道创宇云防御-浏览器安全检查 浏览器安全检查 创宇盾将在您访问 paper.seebug.org 前对浏览器进行安全检查,请等待 4 秒… · 如果您对安全防护...
-
5
MiMi应用被植入后门,攻击安卓、iOS、Windows和macOS平台 作者:ang010ela 2022-08-30 11:41:53 安全 国内即时消息应用MiMi被植入后...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK