使用 SolarWinds Orion 軟體的機構須擔心Sunburst 目標式攻擊

2020 / 12 / 17

編輯部

使用 SolarWinds Orion 軟體的機構須擔心Sunburst 目標式攻擊

目前已有多個情報來源披露，有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統，在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。

Sunburst 是什麼？
Sunburst 是一個精密的後門程式，幾乎能讓駭客完全掌控被感染的系統，不過其行為相當獨特。

在它執行之前，它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行，而且電腦必須連上網域。也因為這些限制條件，使得研究人員在分析時更加困難，不過卻也某種程度限制了受害者的擴散範圍。

此後門程式會經由多個網域名稱連回幕後操縱 (C&C) 伺服器，網域名稱格式如下：
{random strings}.appsync-api.{subdomain}.avsvmcloud.com

其中，子網域 (subdomain) 部分包括：

eu-west-1
eu-west-2
us-east-1
us-east-2

後門程式一旦進入系統，就會蒐集被感染系統的下列資訊：

網域名稱
網路介面卡
執行中的處理程序與服務
已安裝的驅動程式

這些資訊用來產生被感染電腦的使用者識別碼 (user ID)，此外也用來檢查電腦上是否含有某些驅動程式、處理程序或服務，若有，後門程式就不會有動作。

此外，後門程式還會執行以下指令：

系統登錄操作 (讀、寫、刪除機碼/數值)
檔案操作 (讀、寫、刪除檔案)
執行/停止處理程序
系統重新開機

受影響的對象為何？
據研究，Sunburst 應是經由某個木馬化版本的 Orion 網路監控軟體來散布。根據 SolarWinds 的 SEC 申報資料顯示，歹徒將惡意程式碼插入原本合法的軟體當中，換句話說，任何下載該軟體的使用者都可能有危險。不過這是在軟體建構的過程中插入，因此原始程式碼並未受影響。

根據 SolarWinds 的 SEC 申報資料，在 2020 年 3 月至 6 月期間，約有將近 18,000 名客戶下載了這個木馬化版本。惡意程式碼一旦進入被感染系統，就會出現前述的行為。目前有多家企業機構 (包括美國政府單位) 都已通報自己受到攻擊。

解決方案
SolarWinds 在一份資安公告中建議所有受影響的客戶立即將軟體更新至最新 (不含惡意程式碼) 的版本，此外也列出了對應的產品版本。

不僅如此，美國國土安全部也在一份發給美國政府單位的指示當中下令所有已安裝該軟體的系統都必須立即下線，並且在系統重灌之前不准再連上網路。這份指示要求各單位將受感染的電腦視為已遭入侵，所有該系統上的登入憑證也應該立即修改。任何有在內部網路使用 SolarWinds Orion 軟體的機構，或許也應考慮採取類似的措施。

本文轉載自趨勢部落格。

供應鏈入侵 Sunburst 後門程式