歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
最新 Sunburst 目標式攻擊分析
2021 / 01 / 18
趨勢科技部落格 (本文為合作企劃文章)
目前已有多個情報來源披露,有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統,在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。
Sunburst 是什麼?
Sunburst 是一個精密的後門程式,幾乎能讓駭客完全掌控被感染的系統,不過其行為相當獨特。
在它執行之前,它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行,而且電腦必須連上網域。也因為這些限制條件,使得研究人員在分析時更加困難,不過卻也某種程度限制了受害者的擴散範圍。
此後門程式會經由多個網域名稱連回幕後操縱 (C&C) 伺服器,網域名稱格式如下:
{random strings}.appsync-api.{subdomain}.avsvmcloud.com
其中,子網域 (subdomain) 部分包括:
eu-west-1
eu-west-2
us-east-1
us-east-2
後門程式一旦進入系統,就會蒐集被感染系統的下列資訊:
網域名稱
網路介面卡
執行中的處理程序與服務
已安裝的驅動程式
這些資訊用來產生被感染電腦的使用者識別碼 (user ID),此外也用來檢查電腦上是否含有某些驅動程式、處理程序或服務,若有,後門程式就不會有動作。
此外,後門程式還會執行以下指令:
系統登錄操作
(讀、寫、刪除機碼/數值)
檔案操作 (讀、寫、刪除檔案)
執行/停止處理程序
系統重新開機
受影響的對象為何?
據研究,Sunburst 應是經由某個木馬化版本的 Orion 網路監控軟體來散布。根據 SolarWinds 的 SEC 申報資料顯示,歹徒將惡意程式碼插入原本合法的軟體當中,換句話說,任何下載該軟體的使用者都可能有危險。不過這是在軟體建構的過程中插入,因此原始程式碼並未受影響。
根據 SolarWinds 的 SEC 申報資料,在 2020 年 3 月至 6 月期間,約有將近 18,000 名客戶下載了這個木馬化版本。惡意程式碼一旦進入被感染系統,就會出現前述的行為。目前有多家企業機構 (包括美國政府單位) 都已通報自己受到攻擊。
解決方案
SolarWinds 在一份資安公告中建議所有受影響的客戶立即將軟體更新至最新 (不含惡意程式碼) 的版本,此外也列出了對應的產品版本。
不僅如此,美國國土安全部也在一份發給美國政府單位的指示當中下令所有已安裝該軟體的系統都必須立即下線,並且在系統重灌之前不准再連上網路。這份指示要求各單位將受感染的電腦視為已遭入侵,所有該系統上的登入憑證也應該立即修改。任何有在內部網路使用 SolarWinds Orion 軟體的機構,或許也應考慮採取類似的措施。
趨勢科技產品已經能夠偵測此攻擊相關的惡意檔案 (趨勢科技分別命名為 Backdoor.MSIL.SUNBURST.A 和 Trojan.MSIL.SUPERNOVA.A)。此外,也應封鎖「avsvmcloud.com」底下的所有網域。企業機構若懷疑自己已遭此攻擊入侵,可利用以下趨勢科技產品來全面掃描內部網路和系統以評估可能的受害程度:
Trend Micro XDR for Users 可運用 AI 及數據分析來提早偵測威脅,涵蓋端點與系統的其他層面。
Trend Micro Apex One™ 可提供利於行動的分析資訊、更豐富的調查功能,以及涵蓋整個網路集中可視性。
入侵指標資料
以下是此攻擊相關的檔案雜湊碼與趨勢科技偵測時的對應名稱:
SHA256
SHA1
趨勢科技偵測名稱
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
2f1a5a7411d015d01aaee4535835400191645023
Backdoor.MSIL.SUNBURST.A
c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
75af292f34789a1c782ea36c7127bf6106f595e8
Trojan.MSIL.SUPERNOVA.A
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
d130bd75645c2433f88ac03e73395fba172ef676
Backdoor.MSIL.SUNBURST.A
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
76640508b1e7759e548771a5359eaed353bf1eec
Backdoor.MSIL.SUNBURST.A
d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600
1b476f58ca366b54f34d714ffce3fd73cc30db1a
Backdoor.MSIL.SUNBURST.A
以下是此攻擊相關的網域名稱 (趨勢科技已可攔截):
avsvmcloud[.]com
databasegalore[.]com
deftsecurity[.]com
highdatabase[.]com
incomeupdate[.]com
panhardware[.]com
thedoccloud[.]com
zupertech[.]com
趨勢科技產品已可提供以下防護:
病毒碼更新至16.415.00版本,可偵測與該攻擊相關的惡意檔案為:
Backdoor.MSIL.SUNBURST.A
Trojan.MSIL.SUPERNOVA.A
趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址。
趨勢科技 Deep Security過濾規則:
1010669 – Identified Malicious Domain – SolarWinds
1010675 – Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
1010676 – Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
趨勢科技TippingPoint過濾規則:
38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
趨勢科技DDI過濾規則:
4491- SUNBURST – DNS (RESPONSE )
原文出處:
資安趨勢部落格
SolarWinds Orion
幕後操縱 (C & C) 伺服器
Backdoor.MSIL.SUNBURST.A
Trojan.MSIL.SUPERNOVA.A
最新活動
2024.11.22
2024台灣資安通報應變年會
2024.11.13
漢昕科技 X 線上資安黑白講【駭客迷宮:完美堵住駭客從端點到伺服器的每條縫】
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
「午夜暴雪」發動大規模網攻,微軟:受害者遍及全球
QNAP 修補兩個零日漏洞,用戶應盡速更新
Check Point 發佈 2025 年九大網路安全趨勢預測
微軟:醫療機構遭受勒索程式攻擊暴增 300%
Fortinet:全球高達70%的企業組織認為員工缺乏足夠資安意識
資安人科技網
文章推薦
Check Point 發佈 2025 年九大網路安全趨勢預測
Fortinet:全球高達70%的企業組織認為員工缺乏足夠資安意識
TWNIC宣佈開放一字元中文域名註冊