歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
使用 SolarWinds Orion 軟體的機構須擔心Sunburst 目標式攻擊
2020 / 12 / 17
編輯部
目前已有多個情報來源披露,有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統,在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。
Sunburst 是什麼?
Sunburst 是一個精密的後門程式,幾乎能讓駭客完全掌控被感染的系統,不過其行為相當獨特。
在它執行之前,它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行,而且電腦必須連上網域。也因為這些限制條件,使得研究人員在分析時更加困難,不過卻也某種程度限制了受害者的擴散範圍。
此後門程式會經由多個網域名稱連回幕後操縱 (C&C) 伺服器,網域名稱格式如下:
{random strings}.appsync-api.{subdomain}.avsvmcloud.com
其中,子網域 (subdomain) 部分包括:
eu-west-1
eu-west-2
us-east-1
us-east-2
後門程式一旦進入系統,就會蒐集被感染系統的下列資訊:
網域名稱
網路介面卡
執行中的處理程序與服務
已安裝的驅動程式
這些資訊用來產生被感染電腦的使用者識別碼 (user ID),此外也用來檢查電腦上是否含有某些驅動程式、處理程序或服務,若有,後門程式就不會有動作。
此外,後門程式還會執行以下指令:
系統登錄操作 (讀、寫、刪除機碼/數值)
檔案操作 (讀、寫、刪除檔案)
執行/停止處理程序
系統重新開機
受影響的對象為何?
據研究,Sunburst 應是經由某個木馬化版本的 Orion 網路監控軟體來散布。根據 SolarWinds 的 SEC 申報資料顯示,歹徒將惡意程式碼插入原本合法的軟體當中,換句話說,任何下載該軟體的使用者都可能有危險。不過這是在軟體建構的過程中插入,因此原始程式碼並未受影響。
根據 SolarWinds 的 SEC 申報資料,在 2020 年 3 月至 6 月期間,約有將近 18,000 名客戶下載了這個木馬化版本。惡意程式碼一旦進入被感染系統,就會出現前述的行為。目前有多家企業機構 (包括美國政府單位) 都已通報自己受到攻擊。
解決方案
SolarWinds 在一份資安公告中建議所有受影響的客戶立即將軟體更新至最新 (不含惡意程式碼) 的版本,此外也列出了對應的產品版本。
不僅如此,美國國土安全部也在一份發給美國政府單位的指示當中下令所有已安裝該軟體的系統都必須立即下線,並且在系統重灌之前不准再連上網路。這份指示要求各單位將受感染的電腦視為已遭入侵,所有該系統上的登入憑證也應該立即修改。任何有在內部網路使用 SolarWinds Orion 軟體的機構,或許也應考慮採取類似的措施。
本文轉載自趨勢部落格。
供應鏈入侵
Sunburst 後門程式
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.22
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】高雄站
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.07.29
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】台北站
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
資安人科技網
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞