SolarWinds供应链APT攻击事件安全风险的示例分析

今天给大家介绍一下SolarWinds供应链APT攻击事件安全风险的示例分析。文章的内容小编觉得不错，现在给大家分享一下，觉得有需要的朋友可以了解一下，希望对大家有所帮助，下面跟着小编的思路一起来阅读吧。背景12月13日，美国顶级安全公司FireEye（中文名：火眼）发布报告称，其发现一起全球性入侵活动，命名该组织为UNC2452。该APT组织通过入侵SolarWinds公司，在SolarWinds Orion商业软件更新包中植入恶意代码，进行分发，FireEye称之为SUNBURST恶意软件。该后门包含传输文件、执行文件、分析系统、重启机器和禁用系统服务的能力，从而到达横向移动和数据盗窃的目的。SolarWinds Orion Platform 是一个强大、可扩展的基础架构监视和管理平台，它用于以单个界面的形式简化本地、混合和软件即服务 (SaaS) 环境的 IT 管理。该平台可对网络设备提供实时监测和分析，并支持定制网页、多种用户意见和对整个网络进行地图式浏览等。事件概述12月13日，FireEye披露了将SolarWinds Orion商业软件更新木马化的供应链攻击，Orion软件框架的SolarWinds数字签名组件SolarWinds.Orion.Core.BusinessLayer.dll被插入一个后门，该后门通过HTTP与第三方服务器进行通信。据FireEye所述，该攻击可能最早出现在2020年春季，目前正处于持续攻击状态。攻击者从2020年3月至2020年5月，对多个木马更新进行了数字签名，并发布到SolarWinds更新网站,其中包括hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp。FireEye已在GitHub上公开了该后门的特征及检测规则，地址如下：https://github.com/fireeye/sunburst_countermeasures植入木马的文件为SolarWinds.Orion.Core.BusinessLayer.dll组件，一个标准的Windows 安装程序补丁文件。一旦安装更新包，该恶意的DLL将被合法的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe(取决于系统配置)程序加载。SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion软件框架的一个SolarWinds签名插件组件，其中的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer类实现了通过HTTP与第三方服务器通信，传输和执行文件、分析系统和禁用系统服务的后门，该后门的网络传输协议伪装为合法的SolarWinds活动以逃避安全工具的检测。SolarWinds.Orion.Core.BusinessLayer.dll由solarwind签名，使用序列号为0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的证书。该文件签署于2020年3月24日。影响范围2019.4 HF 5
解决方案建议安装了2020年3月至6月之间发布的2019.4-2020.2.1版本SolarWinds Orion平台软件，立即更新至Orion Platform版本2020.2.1HF1版本。以上就是SolarWinds供应链APT攻击事件安全风险的示例分析的全部内容了，更多与SolarWinds供应链APT攻击事件安全风险的示例分析相关的内容可以搜索云编程开发博客之前的文章或者浏览下面的文章进行学习哈！相信小编会给大家增添更多知识,希望大家能免费云主机域名够支持一下云编程开发博客！

相关推荐: 如何进行Ecshop2.x代码执行漏洞动态调试分析

如何进行Ecshop2.x代码执行漏洞动态调试分析，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。号称国内最大的开源网店系统，可以直接远程写入webshell。本文会通过动态分析来解…