歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
使用 SolarWinds Orion 軟體的機構須擔心Sunburst 目標式攻擊
2020 / 12 / 17
編輯部
目前已有多個情報來源披露,有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統,在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。
Sunburst 是什麼?
Sunburst 是一個精密的後門程式,幾乎能讓駭客完全掌控被感染的系統,不過其行為相當獨特。
在它執行之前,它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行,而且電腦必須連上網域。也因為這些限制條件,使得研究人員在分析時更加困難,不過卻也某種程度限制了受害者的擴散範圍。
此後門程式會經由多個網域名稱連回幕後操縱 (C&C) 伺服器,網域名稱格式如下:
{random strings}.appsync-api.{subdomain}.avsvmcloud.com
其中,子網域 (subdomain) 部分包括:
eu-west-1
eu-west-2
us-east-1
us-east-2
後門程式一旦進入系統,就會蒐集被感染系統的下列資訊:
網域名稱
網路介面卡
執行中的處理程序與服務
已安裝的驅動程式
這些資訊用來產生被感染電腦的使用者識別碼 (user ID),此外也用來檢查電腦上是否含有某些驅動程式、處理程序或服務,若有,後門程式就不會有動作。
此外,後門程式還會執行以下指令:
系統登錄操作 (讀、寫、刪除機碼/數值)
檔案操作 (讀、寫、刪除檔案)
執行/停止處理程序
系統重新開機
受影響的對象為何?
據研究,Sunburst 應是經由某個木馬化版本的 Orion 網路監控軟體來散布。根據 SolarWinds 的 SEC 申報資料顯示,歹徒將惡意程式碼插入原本合法的軟體當中,換句話說,任何下載該軟體的使用者都可能有危險。不過這是在軟體建構的過程中插入,因此原始程式碼並未受影響。
根據 SolarWinds 的 SEC 申報資料,在 2020 年 3 月至 6 月期間,約有將近 18,000 名客戶下載了這個木馬化版本。惡意程式碼一旦進入被感染系統,就會出現前述的行為。目前有多家企業機構 (包括美國政府單位) 都已通報自己受到攻擊。
解決方案
SolarWinds 在一份資安公告中建議所有受影響的客戶立即將軟體更新至最新 (不含惡意程式碼) 的版本,此外也列出了對應的產品版本。
不僅如此,美國國土安全部也在一份發給美國政府單位的指示當中下令所有已安裝該軟體的系統都必須立即下線,並且在系統重灌之前不准再連上網路。這份指示要求各單位將受感染的電腦視為已遭入侵,所有該系統上的登入憑證也應該立即修改。任何有在內部網路使用 SolarWinds Orion 軟體的機構,或許也應考慮採取類似的措施。
本文轉載自趨勢部落格。
供應鏈入侵
Sunburst 後門程式
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
Whoscall:三成台灣人遇到詐騙後一小時內受騙
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
RISC-V 新興晶片架構引發資安疑慮
資安人科技網
文章推薦
趨勢科技:裝置與帳號為高風險資產
VicOne 通過TISAX AL3汽車工業資訊安全最高等級認證
Zoom 推出全新企業進階解決方案,助企業打造高效安全的營運環境