今天給大家介紹一下SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析。文章的內(nèi)容小編覺得不錯(cuò)，現(xiàn)在給大家分享一下，覺得有需要的朋友可以了解一下，希望對(duì)大家有所幫助，下面跟著小編的思路一起來閱讀吧。

創(chuàng)新互聯(lián)公司主要從事成都做網(wǎng)站、成都網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)泰興,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

• 背景

12月13日，美國頂級(jí)安全公司FireEye（中文名：火眼）發(fā)布報(bào)告稱，其發(fā)現(xiàn)一起全球性入侵活動(dòng)，命名該組織為UNC2452。該APT組織通過入侵SolarWinds公司，在SolarWinds Orion商業(yè)軟件更新包中植入惡意代碼，進(jìn)行分發(fā)，F(xiàn)ireEye稱之為SUNBURST惡意軟件。該后門包含傳輸文件、執(zhí)行文件、分析系統(tǒng)、重啟機(jī)器和禁用系統(tǒng)服務(wù)的能力，從而到達(dá)橫向移動(dòng)和數(shù)據(jù)盜竊的目的。

SolarWinds Orion Platform 是一個(gè)強(qiáng)大、可擴(kuò)展的基礎(chǔ)架構(gòu)監(jiān)視和管理平臺(tái)，它用于以單個(gè)界面的形式簡化本地、混合和軟件即服務(wù) (SaaS) 環(huán)境的 IT 管理。該平臺(tái)可對(duì)網(wǎng)絡(luò)設(shè)備提供實(shí)時(shí)監(jiān)測(cè)和分析，并支持定制網(wǎng)頁、多種用戶意見和對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行地圖式瀏覽等。

• 事件概述

12月13日，F(xiàn)ireEye披露了將SolarWinds Orion商業(yè)軟件更新木馬化的供應(yīng)鏈攻擊，Orion軟件框架的SolarWinds數(shù)字簽名組件SolarWinds.Orion.Core.BusinessLayer.dll被插入一個(gè)后門，該后門通過HTTP與第三方服務(wù)器進(jìn)行通信。據(jù)FireEye所述，該攻擊可能最早出現(xiàn)在2020年春季，目前正處于持續(xù)攻擊狀態(tài)。攻擊者從2020年3月至2020年5月，對(duì)多個(gè)木馬更新進(jìn)行了數(shù)字簽名，并發(fā)布到SolarWinds更新網(wǎng)站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公開了該后門的特征及檢測(cè)規(guī)則，地址如下：

https://github.com/fireeye/sunburst_countermeasures

植入木馬的文件為SolarWinds.Orion.Core.BusinessLayer.dll組件，一個(gè)標(biāo)準(zhǔn)的Windows 安裝程序補(bǔ)丁文件。一旦安裝更新包，該惡意的DLL將被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取決于系統(tǒng)配置)程序加載。

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架的一個(gè)SolarWinds簽名插件組件，其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer類實(shí)現(xiàn)了通過HTTP與第三方服務(wù)器通信，傳輸和執(zhí)行文件、分析系統(tǒng)和禁用系統(tǒng)服務(wù)的后門，該后門的網(wǎng)絡(luò)傳輸協(xié)議偽裝為合法的SolarWinds活動(dòng)以逃避安全工具的檢測(cè)。

SolarWinds.Orion.Core.BusinessLayer.dll由solarwind簽名，使用序列號(hào)為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的證書。該文件簽署于2020年3月24日。

• 影響范圍

2019.4 HF 5 <= SolarWinds <= 2020.2.1。

• 解決方案

建議安裝了2020年3月至6月之間發(fā)布的2019.4-2020.2.1版本SolarWinds Orion平臺(tái)軟件，立即更新至Orion Platform版本2020.2.1HF1版本。

以上就是SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析的全部內(nèi)容了，更多與SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析相關(guān)的內(nèi)容可以搜索創(chuàng)新互聯(lián)之前的文章或者瀏覽下面的文章進(jìn)行學(xué)習(xí)哈！相信小編會(huì)給大家增添更多知識(shí),希望大家能夠支持一下創(chuàng)新互聯(lián)！

當(dāng)前文章：SolarWinds供應(yīng)鏈APT攻擊事件安全風(fēng)險(xiǎn)的示例分析
網(wǎng)頁鏈接：http://chinadenli.net/article24/gjooje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、品牌網(wǎng)站制作、自適應(yīng)網(wǎng)站、標(biāo)簽優(yōu)化、商城網(wǎng)站、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)