近期,数以千计的组织受到了一次供应链攻击的影响,该攻击破坏了SolarWinds Orion软件的更新机制,以交付名为Sunburst的后门特洛伊木马程序(Sunburst后门)(又名Solorigate)。
安全公司FireEye于12月13日披露了袭击的细节。SolarWinds还为其客户发布了一份安全建议。
这场攻击活动至少从2020年3月就开始了。任何在这段时间内下载更新的Orion软件的用户都可能感染了Sunburst。据FireEye称,攻击者对他们感兴趣的受害者组织子集进行了进一步的恶意活动。
从本质上讲,供应链攻击是不会进行区分目标的,它会感染任何被破坏软件的用户。它们的执行是为了让攻击者能够访问大量的组织,其中的一个子集将被确定为进一步利用的目标;发现了少数组织的第二级有效载荷(Teardrop后门)被利用了。
一个名为Sunburst.Orion.Core.BusinessLayer.dll会被攻击者修改为包含一个添的类。该恶意软件设计为在安装后一段时间内保持非活动状态。然后它将尝试解析avsvmcloud.com的子域。DNS响应将传递一个CNAME记录,该记录将定向到命令和控制(C&C)域。
Sunburst.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager.RefreshInterval()代码被添加到调用OrionImprovementBusinessLayer.Initialize().OrionImprovementBusinessLayer是攻击者添加的恶意类。
它具有如下功能:
● 终止后门线程
● 设置执行前的延迟时间
● 收集并上传系统信息,包括:
◆ 域
◆ 管理员账户的SID
◆ 主机名
◆ 用户名
◆ 操作系统版本
◆ 系统目录路径
◆ 系统启动后经过的天数
◆ 有关网络适配器的信息,包括:
■ 描述
■ MAC地址
■ DHC启用
■ DHCP服务器
■ DNS名称
■ DNSDomainSuffixSearchOrder
■ DNSServerSearchOrder
■ IP地址
■ IPSubnet网络
■ 默认IP网关
● 下载并运行代码
● 遍历文件系统
● 创建和删除文件
● 计算文件哈希
● 读取、写入和删除注册表项
● 重新启动系统
第二阶段的有效载荷,一个称为Teardrop的后门,部署在攻击者感兴趣的目标上。赛门铁克观察到了Teardrop的两个变种,两个变种的行为相似,并被用来传递另一个有效载荷——CobaltStrike恶意软件。
第一个变体(SHA256:b820e8a2057112d0ed73bd7995201dbed79a79e13c79d4bdad81a22f12387e07)是一个DLL。恶意代码包含在导出Tk_CreateImageType,序号209中。执行时,恶意代码读取名为upbeat的文件_焦虑.jpg并确保它具有来自jpg的当前目录头。它还将检查注册表项HKCU\Software\Microsoft\CTF是否存在。然后提取并执行CobaltStrike的嵌入副本。这个CobaltStrike示例连接到InfinitySoftware[.]com进行命令和控制。
第二个变体(SHA256:1817a5bf9c01035bcf8a975c9f1d94b0ce7f6a20039485d8f93859f8f6d730c)类似,只是它加载的文件名为festive_computer.jpg,嵌入式CobaltStrike有效载荷连接到ervsystem[.]com以进行命令和控制。
一台被调查的计算机的后攻击链看到了最初的Sunburst恶意软件,一个经过修改的sunburst.orion.core.businesslayer.dll,通过Orion更新过程安装在受害者电脑上,时间是11月7日。
21天后,合法的可执行文件solarwinds.businesslayerhost.exe加载恶意DLL,此动态链接库名为cbsys.dll,位于c:\windows\panther文件夹中。这个文件名和路径看起来很不寻常,因为大多数Teardrop实例都是在一个名为netsetupsvc.dll在c:\windows\syswow64文件夹中。
这个后门是一个DLL,其中包含导出Tk_CreateImageType中包含的恶意代码。执行时,该导出将读取名为upbeat的upbeat_anxiety.jpg并确保它具有来自jpg的当前目录。它还将检查注册表项HKCU\Software\Microsoft\CTF是否存在。然后提取一个嵌入的CobaltStrike副本。CobaltStrike会连接C&C服务器InfinitySoftware.com。
此时,攻击者启动WMI以执行rundll32.exe来加载另一个名为resources.dll(在路径csidl\u windows\desktoptileresources\),resources.dll尝试通过访问获取凭据lsass.exe文件使用类似于Mimikatz的技术(一个广泛使用的操作系统凭证转储工具)。
Adfind是一个能够查询activedirectory的工具,然后作为searchindex.exe然后被执行(命令行.exe/cSearchIndex.exe-sc u:<removed>>.\h.txt),其结果保存在h.txt文件中。利用此信息,攻击者试图获得提升的权限(例如域管理员)来访问域或横向遍历环境。
Orion用户应更新至平台版本2020.2.1 HF 2。
Orion用户应检查其网络是否存在泄露后活动的迹象,包括:
1.使用Teardrop内存恶意软件投放CobaltStrike信标;
2.命令和控制(C&C)基础结构泄漏RDP SSL证书中配置的主机名,扫描您组织的主机名可以发现攻击者使用的恶意IP地址,这表明存在泄露后活动;
3.对用于远程访问的IP地址进行地理位置定位可能会发现一个被破坏的账户是否同时被合法用户和攻击者使用;
4.攻击者对每个VPS提供程序使用多个IP地址,如果发现来自异常ASN的恶意登录,则来自该ASN的其他登录也可能是恶意的;
5.SMB会话的日志可能显示对合法目录的访问,并在短时间内遵循delete-create-execute-delete-create模式。
应当记住,尽管在植入后的活动中可能有一些共同点,但每个受害者在活动中可能会看到不同的模式。这一活动很可能涉及大量使用本地(off the land)技术,以尽量减少被发现的可能性,攻击者似乎根据他们如何进行第一阶段的攻击来优先考虑这一点。