原始攻擊中使用的惡意軟件代號為Sunburst(或Solorigate),作為Orion應用的“booby-trapped”(詭雷代碼)更新交付給SolarWinds客戶。在受感染的網絡上,惡意軟件會ping其創建者,然後下載名為Teardrop的第二個階段性後門木馬,允許攻擊者開始動手操作鍵盤會話,也就是所謂的人為操作攻擊。
但在SolarWinds黑客事件公開披露後的頭幾天,最初的報告提到瞭兩個第二階段的有效載荷。來自Guidepoint、賽門鐵克和Palo Alto Networks的報告詳細介紹瞭攻擊者如何同時植入一個名為Supernova的.NET web shell。
安全研究人員認為攻擊者是利用Supernova webshell來下載、編譯和執行一個惡意Powershell腳本(有人將其命名為CosmicGale)。
然而,在微軟安全團隊的後續分析中,現在已經澄清Supernova網頁殼並不是原始攻擊鏈的一部分。他們發現Supernova安裝在SolarWinds上的公司需要將此次事件作為一個單獨的攻擊事件來處理。
根據微軟安全分析師Nick Carr在GitHub上的一篇文章,Supernova webshell似乎被種植在SolarWinds Orion安裝上,這些安裝已經暴露在網上,並被利用類似於追蹤為CVE-2019-8917的漏洞。
Supernova與Sunburst+Teardrop攻擊鏈有關的困惑來自於,和Sunburst一樣,Supernova也被偽裝成瞭獵戶座應用的DLL--Sunburst隱藏在SolarWinds.Orion.Core.BusinessLayer.dll文件內,Supernova則隱藏在App_Web_logoimagehandler.ashx.b6031896.dll內。
但在12月18日周五晚些時候發佈的分析報告中,微軟表示,與Sunburst DLL不同,Supernova DLL並沒有使用合法的SolarWinds數字證書進行簽名。
Supernova沒有被簽名這一事實被認為是攻擊者極不正常的行為,在此之前,攻擊者在操作上表現出瞭非常高的復雜性和對細節的關註。
這包括花幾個月時間在SolarWinds的內部網絡中不被發現,提前在Orion應用中添加虛擬緩沖區代碼以掩飾日後添加惡意代碼,並將他們的惡意代碼偽裝成SolarWinds開發人員自己編寫的樣子。
這些似乎都是太明顯的錯誤,最初的攻擊者不會這麼做,因此,微軟認為這個惡意軟件與最初的SolarWinds供應鏈攻擊無關。
留言列表
