SolarWinds 供应链攻击中的第四款恶意软件及其它动态
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
网络安全公司赛门铁克指出,从 SolarWinds 供应链攻击中找到了第四款恶意软件并将其命名为 Raindrop。之前找到的三款恶意软件是 Sunspot、Sunburst (Solorigate) 和 Teardrop。
赛门铁克公司表示,Raindrop 仅用于入侵的最后阶段,仅部署于少数精选的几个目标网络中。迄今为止,仅从调查案例中找到4个 Raindrop 样本。
SolarWinds 供应链攻击的时间线
要了解 Raindrop 在这些攻击活动中的角色和位置,我们必须首先梳理下整个 SolarWinds 事件的时间线。
从微软、火眼、CrowdStrike 和其它公司提供的信息可知,SolarWinds 攻击事件应该发生在2019年年中,当时黑客(被指和俄罗斯之间存在关联)攻陷了位于美国德克萨斯州的软件厂商 SolarWinds 的内网。
入侵者首先部署了 Sunspot 恶意软件,专攻 SolarWinds 公司内网。CrowdStrike 公司指出攻击者利用 Sunspot 修改 SolarWinds Orion app 的 build 进程并将 Sunburst (Solorigate) 恶意软件放在 IT 存储管理系统 Orion 的新版本中。
这些被木马化的 Orion 版本未被检测到并在2020年3月至6月期间活跃于 SolarWinds 的官方更新服务器中。应用了 Orion 更新的企业也在毫不知情的情况下将 Sunburst 恶意软件安装在系统中。
但 Sunburst 并不复杂且除了收集受感染网络的信息并发送给一台远程服务器外并未做太多的事情。即使约1.8万名 SolarWinds 客户受 Sunburst 感染,但黑客仔细挑选了目标并选择仅在少数几个案例中提升攻击,如美国政府机构、微软或安全公司火眼等高层次目标。
当黑客决定“提升访问权限”时,他们使用 Sunburst 下载并安装 Teardrop 恶意软件。
Raindrop:Teardrop 的姐妹花
但赛门铁克公司指出,在某些案例中,黑客选择部署 Raindrop 恶意软件而非使用更为广泛的 Teardrop。
尽管是不同的恶意软件,但赛门铁克公司表示这两款后门的功能类似,“是 Cobalt Strike Beacon 的加载器”,供黑客后续用户提升并拓宽在被黑 IT 网络中的访问权限。
但是,虽然 Raindrop 和 Teardrop 的目的相同,但赛门铁克公司表示二者之间还是存在一些差异,最显著的是代码层面的差异,如下表所示:
另外一个重大差别在于,它们的部署方式不同。赛门铁克公司表示,利用更为广泛的 Teardrop 直接由 Sunburst 恶意软件安装,而 Raindrop 神秘地出现在发现 Sunburst 的系统上,但并未有直接证据表明 Sunburst 触发了其安装。
赛门铁克公司表示目前正在调查 Raindrop 是如何被安装的。
此前报告称,黑客还使用 Sunburst 恶意软件运行多种无文件 PowerShell payload,其中很多将在受感染上留下最小的取证证据。虽然并未证实,但很可能 Raindrop 就是这些操作的结果。
更多详情可见完整报告:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
Malwarebytes 内部邮件遭访问
网络安全公司 Malwarebytes 证实称,SolarWinds 供应链攻击幕后的攻击者能够获得对公司某些邮件的访问权限。
Malwarebytes 公司的首席执行官兼联合创始人 Marcin Kleczynski 指出,“虽然 Malwarebytes 公司并不使用 SolarWinds,但和其它企业一样,我们也遭到攻击。我们能够证实另外一个入侵向量的存在,通过滥用拥有对 Microsoft Office 365 和 Azure 环境提权权限的应用程序而运行。经过深入调查后,我们发现攻击者仅获得对数量有限的公司内部邮件的访问权限。”另外, Kleczynski 指出,公司并未发现内部生产环境或本地环境遭攻陷或越权访问的证据。
Malwarebytes 公司表示,在2020年12月15日受到微软安全响应中心关于 Microsoft Office 365 租户中的某第三方应用中的可疑活动和SolarWinds黑客使用的 TTPs 一致。调查表明,攻击者利用了一个 Azure Active Directory 弱点,从而访问了公司的一些内部邮件。但全面分析 “Malwarebytes 的所有源代码、build 和交付流程“后,并未发现越权访问或攻陷的迹象。
SolarWinds 黑客还向微软 Graph 服务主账户添加了拥有凭据的自签名证书,攻击 Malwarebytes 公司的管理员和服务凭据。这使得攻击者能够“使用该密钥进行认证并经由 MSGraph 通过 API 调用发出邮件请求。“
完整阐述可见:
https://blog.malwarebytes.com/malwarebytes-news/2021/01/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments/
火眼发布审计工具
火眼公司发布长达35页的报告,详述了 SolarWinds 黑客所使用的攻击技术以及企业可应用的检测、修复和安全加固策略,同时在 GitHub 上发布了一款免费工具,名为 Azure AD Investigator,旨在帮助企业判断 SolarWinds 黑客(也被称为 UNC2452)是否在它们的网络中使用了这些技术。
报告详述的攻击技术总结如下:
1、窃取 Active Directory Federation Services (AD FS) 令牌签名证书并用该证书为任意用户伪造令牌,从而使攻击者以任意用户的身份通过联合资源提供商(如 Microsoft 365)的认证,而无需用户密码或相应的多因素认证机制。
2、修改或在 Azure AD 中添加受信任域名,添加攻击者控制的新的联合身份提供商 (IdP)。这将使攻击者伪造任意用户的令牌并被认为是 Azure AD 后门。
3、攻陷同步到微软 365 的具有高权限目录角色的本地用户账户凭据,如全局管理员或应用程序管理员。
4、通过添加恶意凭据的方式劫持已有的 Microsoft 365 应用程序,以利用分配给该应用程序的合法权限,如获得以任意用户身份读取并发送邮件的能力、访问用户日历等,同时绕过 MFA。
实际上,CISA 以及 CrowdStrike 均发布了类似的审计工具,分别为 Sparrow 和 CRT,火眼发布的免费审计工具详见:https://github.com/fireeye/Mandiant-Azure-AD-Investigator
完整报告可见:
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
推荐阅读
SolarWinds 供应链攻击中的第三款恶意软件
微软源代码遭 SolarWinds 黑客访问
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
原文链接
https://www.zdnet.com/article/fourth-malware-strain-discovered-in-solarwinds-incident/
https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/
https://www.bleepingcomputer.com/news/security/malwarebytes-says-solarwinds-hackers-accessed-its-internal-emails/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
SolarWinds 供应链攻击中的第四款恶意软件及其它动态相关推荐
- SolarWinds 供应链攻击中的第三款恶意软件
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 网络安全公司 CrowdStrike 是直接参与调查 SolarWinds 供应链攻击事件的公司之一.今天,该公司表示发现了直接参与该攻击的 ...
- 微软和火眼又分别发现SolarWinds 供应链攻击的新后门
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门. 火眼发现一个新后门 Sunshuttle 火眼从其中一个受陷组织机 ...
- 【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉
2020年11月底,FireEye的审查员在内部安全日志审计中发现一条安全警告:一位员工注册了一个新的手机号码接收双因素认证验证码.然而据该员工反馈,这段时间并未在系统中注册新的手机号码,FireEy ...
- SolarWinds供应链攻击事件带来的启示
SolarWinds供应链攻击事件带来的启示 一.概述 二.事件分析 1.SUNBURST后门 2.深入恶意软件分析 传播和安装 初始化 DGA和阻止列表 网络命令和控制(C2) 支持的命令 3.行为 ...
- 第65篇:探索顶级APT后门Sunburst的设计思路(Solarwinds供应链攻击中篇)
Part1 前言 大家好,我是ABC_123.上周写了一篇<史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)>反响还不错.由于该APT供应链 ...
- 第65篇:探索顶级APT后门Sunburst的设计思路(修正篇)Solarwinds供应链攻击中篇...
Part1 前言 由于先前文章存在部分错误,原文ABC_123已删除,上周末把文章修正,重新发布. 大家好,我是ABC_123.之前写了一篇<史上最严重的APT供应链攻击事件,借助Solar ...
- “木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软威胁情报中心 (MSTIC) 称,SolarWinds 供应链攻击幕后的俄罗斯黑客组织瞄准全球各政府机构,发动钓鱼攻击活动. MSTI ...
- SolarWinds 供应链攻击通告
报告编号:B6-2020-121403 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-14 0x01 漏洞简述 2020年12月14日,360CERT监测发现 Fire ...
最新文章
- python写了代码_Python写代码的用法建议
- tensorflow之transpose的使用
- Redis 实现接口访问频率限制
- 话说关于 ZooKeeper 方面,面试有什么可问的啊?​
- sqlite时间比较_一份经过时间检验的 Laravel PHPUnit 测试经验分享
- jupyter notebook 中添加 Julia kernel
- 小宝机器人的储存容量_扫地机器人和吸尘器哪个更实用?
- 平面阵列天线的3D方向图的Python综合
- 浅谈中国现货市场环境对期货市场发展的影响
- wordpress短代码转php,WordPress短代码实现京东推广自动转链
- python getcwd_Python3 os.getcwd() 方法
- 使用UMI仿今日头条首页
- ENSPAC的web配置直接转发
- Mysql update from 使用
- java 汽车加油问题_贪心算法 汽车加油问题 | 学步园
- Android App 可以定时启动! 并且完成短信自动发送获取内容功能 (以获取闪讯密码为例 大学宿舍宽带)
- WINDOWS的常用软件点评(1)------系统必备软件篇
- java utf8 简繁转换 类库_JAVA简繁转换(对象)解决办法
- vue3 简易等待图片加载的组件
- SPSS学习笔记【三】-聚类分析判别分析
热门文章
- sharepoint2007就地升级2010系列(三)升级系统
- js小技巧,收藏.作者:空军上将
- 20060516: 实现圆角div效果
- Java泛型程序设计
- 最近要用C#实现用免费smtp服务器(GMail)发邮件,贴段整理好的代码
- BZOJ2815:[ZJOI2012]灾难(拓扑排序,LCA)
- Git-github 的基本应用
- 快速计算Distinct Count
- Selenium2+python自动化18-加载Firefox配置
- DriverManager 连接不同的连接池