最新 Sunburst 目標式攻擊分析

2021 / 01 / 18

趨勢科技部落格 (本文為合作企劃文章)

目前已有多個情報來源披露，有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統，在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。

Sunburst 是什麼？
Sunburst 是一個精密的後門程式，幾乎能讓駭客完全掌控被感染的系統，不過其行為相當獨特。

在它執行之前，它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行，而且電腦必須連上網域。也因為這些限制條件，使得研究人員在分析時更加困難，不過卻也某種程度限制了受害者的擴散範圍。

此後門程式會經由多個網域名稱連回幕後操縱 (C&C) 伺服器，網域名稱格式如下：

{random strings}.appsync-api.{subdomain}.avsvmcloud.com

其中，子網域 (subdomain) 部分包括：

eu-west-1
eu-west-2
us-east-1
us-east-2

後門程式一旦進入系統，就會蒐集被感染系統的下列資訊：

網域名稱
網路介面卡
執行中的處理程序與服務
已安裝的驅動程式

這些資訊用來產生被感染電腦的使用者識別碼 (user ID)，此外也用來檢查電腦上是否含有某些驅動程式、處理程序或服務，若有，後門程式就不會有動作。

此外，後門程式還會執行以下指令：

系統登錄操作 (讀、寫、刪除機碼/數值)
檔案操作 (讀、寫、刪除檔案)
執行/停止處理程序
系統重新開機

受影響的對象為何？
據研究，Sunburst 應是經由某個木馬化版本的 Orion 網路監控軟體來散布。根據 SolarWinds 的 SEC 申報資料顯示，歹徒將惡意程式碼插入原本合法的軟體當中，換句話說，任何下載該軟體的使用者都可能有危險。不過這是在軟體建構的過程中插入，因此原始程式碼並未受影響。

根據 SolarWinds 的 SEC 申報資料，在 2020 年 3 月至 6 月期間，約有將近 18,000 名客戶下載了這個木馬化版本。惡意程式碼一旦進入被感染系統，就會出現前述的行為。目前有多家企業機構 (包括美國政府單位) 都已通報自己受到攻擊。

解決方案
SolarWinds 在一份資安公告中建議所有受影響的客戶立即將軟體更新至最新 (不含惡意程式碼) 的版本，此外也列出了對應的產品版本。

不僅如此，美國國土安全部也在一份發給美國政府單位的指示當中下令所有已安裝該軟體的系統都必須立即下線，並且在系統重灌之前不准再連上網路。這份指示要求各單位將受感染的電腦視為已遭入侵，所有該系統上的登入憑證也應該立即修改。任何有在內部網路使用 SolarWinds Orion 軟體的機構，或許也應考慮採取類似的措施。

趨勢科技產品已經能夠偵測此攻擊相關的惡意檔案 (趨勢科技分別命名為 Backdoor.MSIL.SUNBURST.A 和 Trojan.MSIL.SUPERNOVA.A)。此外，也應封鎖「avsvmcloud.com」底下的所有網域。企業機構若懷疑自己已遭此攻擊入侵，可利用以下趨勢科技產品來全面掃描內部網路和系統以評估可能的受害程度：

Trend Micro XDR for Users 可運用 AI 及數據分析來提早偵測威脅，涵蓋端點與系統的其他層面。
Trend Micro Apex One™ 可提供利於行動的分析資訊、更豐富的調查功能，以及涵蓋整個網路集中可視性。

入侵指標資料
以下是此攻擊相關的檔案雜湊碼與趨勢科技偵測時的對應名稱：

SHA256	SHA1	趨勢科技偵測名稱
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134	2f1a5a7411d015d01aaee4535835400191645023	Backdoor.MSIL.SUNBURST.A
c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71	75af292f34789a1c782ea36c7127bf6106f595e8	Trojan.MSIL.SUPERNOVA.A
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6	d130bd75645c2433f88ac03e73395fba172ef676	Backdoor.MSIL.SUNBURST.A
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77	76640508b1e7759e548771a5359eaed353bf1eec	Backdoor.MSIL.SUNBURST.A
d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600	1b476f58ca366b54f34d714ffce3fd73cc30db1a	Backdoor.MSIL.SUNBURST.A

以下是此攻擊相關的網域名稱 (趨勢科技已可攔截)：

avsvmcloud[.]com
databasegalore[.]com
deftsecurity[.]com
highdatabase[.]com
incomeupdate[.]com
panhardware[.]com
thedoccloud[.]com
zupertech[.]com

趨勢科技產品已可提供以下防護：

病毒碼更新至16.415.00版本，可偵測與該攻擊相關的惡意檔案為：
- Backdoor.MSIL.SUNBURST.A
- Trojan.MSIL.SUPERNOVA.A
趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址。
趨勢科技 Deep Security過濾規則：
- 1010669 – Identified Malicious Domain – SolarWinds
- 1010675 – Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
- 1010676 – Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
趨勢科技TippingPoint過濾規則：
- 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
- 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
趨勢科技DDI過濾規則：
- 4491- SUNBURST – DNS (RESPONSE )