18

黄雀在后?SolarWinds供应链攻击曝出第二个后门

 3 years ago
source link: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA%3D%3D&%3Bmid=2651095472&%3Bidx=1&%3Bsn=cf1ca3953aa6d4e954c95459181f16a4
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

点击蓝字关注我们

Iv6bYbq.jpg!mobile

在紧锣密鼓,日以继夜分析SolarWinds Orion供应链攻击时,安全研究人员发现了另一个后门,而这个后门很可能来自另外一个高级威胁组织(APT),换而言之,SolarWinds可能被至少两个APT组织渗透,而且两个组织很有可能并非合作关系。

“日爆”之后还有“超新星”

最初发现的Orion后门被FireEye命名为SUNBURST(日爆),这个最新发现的恶意软件名为SUPERNOVA(超新星),从字面上看起来比“日爆”威力还大。SUPERNOVA是一个植入Orion网络和应用程序监视平台代码中的 W ebshell ,使攻击者能够在运行木马版Orion的计算机上运行任意代码。

根据派拓网络(Palo Alto Networks)的调查,该Webshell是SolarWinds Orion软件中存在的合法.NET库(app_web_logoimagehandler.ashx.b6031896.dll)的木马变体,攻击者对其进行了修改,使其可以逃避自动防御机制。

Orion软件使用DLL公开HTTP API,从而允许主机在查询特定GIF图像时响应其他子系统。

派拓网络高级安全研究员Matt Tennis指出:SUPERNOVA背后的黑客手法极为巧妙,在合法DLL文件中植入的代码质量非常高,以至于即使是人工审核分析代码也很难发现。

分析表明,攻击者在合法的SolarWinds文件中添加了四个新参数,以接收来自命令和控制(C2)服务器的指令。

恶意代码仅包含一种方法——DynamicRun,该方法可将参数动态编译到内存中的.NET程序集中,因此不会在受感染设备的磁盘上留下任何痕迹。

q26nYnI.png!mobile

资料来源:Palo Alto Networks

这样,攻击者可以将任意代码发送到受感染的设备,并在用户的上下文中运行该代码,目标用户通常在网络上具有较高的特权和可见性。

目前,SUPERNOVA恶意软件样本已被上传到VirusTotal,可被69个防病毒引擎中的55个检测到。

目前尚不清楚SUPERNOVA在Orion软件中存在了多久,但Intezer的恶意软件分析系统显示其编译时间戳为2020年3月24日。

黄雀在后?

根据调查的结果, SUPERNOVA出自一个高级黑客组织之手,该组织将Webshell攻击技术提升到了一个新的高度。

“尽管.NET Webshell相当常见,但大多数公开研究的样本都只是接受命令和控制(C2)参数,并执行一些相对浅层次的利用。”Tennis说。

研究人员补充说,SUPERNOVA不同寻常之处在于,能以有效的.NET程序作为参数并执行内存中的代码,除初始C2请求之外,不再需要其他网络回调。

而大多数 W ebshell 需要在运行时环境中运行载荷,或通过调用诸如CMD、PowerShell或Bash之类的子Shell或进程。

微软认为,与入侵网络安全公司FireEye和美国政府多个部门的攻击者相比,SUPERNOVA可能是另一个独立的高级威胁组织的“作品”。

微软在事件调查安全咨文中指出: “事情出现了有趣的转折,业界调查SolarWinds Orion(SUNBURST,微软称之为Solarigate)后门时却发现了另一个后门(恶意软件),而且该恶意软件也入侵了SolarWinds Orion产品,但很可能与本次SolarWinds供应链攻击(及其背后的攻击者)无关,是另外一个攻击者的工具。”

微软的判断依据是,SUPERNOVA没有数字签名,这与最初发现的SunBurst/Solarigate木马化了的SolarWinds.Orion.Core.BusinessLayer.Dll库不同。

目前,上述网络安全公司尚未给出两种恶意软件的归因定论,但认定都是出自APT组织之手。

参考资料

SUPERNOVA:A Novel.NET Webshell

https://unit42.paloaltonetworks.com/solarstorm-supernova/

SolarWinds供应链攻击Solorigate恶意DLL文件分析:

https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/

vuqaqyE.png!mobile

合作电话:18311333376

合作微信:aqniu001

投稿邮箱:[email protected]

zEnMj27.gif!mobile


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK