事件簡述

SolarWinds是一家國際IT管理軟體供應商，其Orion軟體更新伺服器上存在一個被感染的更新程式，這導致美國多家企業及政府單位網路受到感染，根據軟體裝機量來看，目前該事件對國內影響較小。

此次供應鏈攻擊事件引發的關聯事件是12月8日FireEye釋出被黑客攻擊公告，可能洩露了一系列用於評估的網路安全測試工具。12月13日，FireEye釋出公告，證實入侵事件是因為SolarWinds公司軟體更新包中存在後門。與該後門相關的事件被FireEye稱為UNC2452，目前並未指出其與已知APT組織的關聯。

事件分析及防護

攻擊者滲透進入SolarWinds網路環境的方法還沒有定論，但結合以往多次的供應鏈攻擊事件推斷，攻擊者可能已經獲取了SolarWinds內網高階許可權，建立了高許可權賬戶，維持了多個入口點。通過在SolarWinds的產品中植入後門程式碼，攻擊者可以跟隨產品更新進入到SolarWinds的大部分客戶網路環境中。同時，由於SolarWinds的令牌已經被使用者所信任，攻擊者可以偽造SolarWinds令牌，欺騙並繞過防護，在目標網路環境中建立高許可權賬戶，等待時機，完成攻擊目標。

由於攻擊者獲取的是正規廠商的證書並利用其對自身進行簽名，這使得所有信任該證書的機構都存在被入侵的風險。特別是在雲服務中，攻擊者可能通過此偽造的令牌繞過並登入其他公司的環境，進而完成更大範圍的入侵活動。

因此我們認為在目前環境下，仍然需要加強賬戶驗證、證書、令牌驗證，校驗訪問源，這也是零信任的基礎思想。對於使用SolarWinds產品的客戶來說，應及時排查系統中異常的資源訪問記錄，確定訪問源，排查是否已完全信任SolarWinds證書。如已部署邊界防護裝置，應及時聯動威脅情報產品，快速獲取IOC攔截潛在的攻擊。

此次事件也將引導其他攻擊者或威脅組織開始重視並利用正規廠商證書在雲服務中進行探查和攻擊，雲服務廠商也應對此類攻擊進行響應和處理。

後門分析

SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟體框架的SolarWinds數字簽名元件，其中包含一個後門，該後門通過HTTP與第三方伺服器進行通訊。該檔案從SolarWinds提供的更新包中提取得到。

 該後門通過一系列時間校驗來判斷是否開始執行，並且通過校驗hash值來保證自身執行環境是真實的目標環境。

首先是當前程式名稱的hash值需要等於17291806236368054941，其次是獲取檔案修改時間，如果檔案修改時間在當前時間的12到14天前時，該後門才會繼續檢查其預設配置項，通過讀取config檔案中的欄位來判斷是否可以執行後門的功能。

在完成一系列檢查後，將通過DGA演算法生成控制域名，該生成演算法沒有固定的生成結果，其生成方法如下：

1.獲取DNS解析時間，用於延遲生成域名的時間，根據DNS解析返回狀態不同，延時時間在1-3分鐘、30-120分鐘、420-540分鐘不等；

2.使用UserID和預置的子域隨機生成字串，並從中擷取固定長度作為DGA域；

在控制域名解析請求返回CNAME域時，且該域可用，則繼續解析獲取真實的控制IP地址，當控制域名解析出真正的IP地址後，該惡意程式會主動連線到控制伺服器。生成的控制域名子域舉例如下：

.appsync-api.eu-west-1.avsvmcloud .com

.appsync-api.us-west-2.avsvmcloud .com

.appsync-api.us-east-1.avsvmcloud . com

.appsync-api.us-east-2.avsvmcloud . com

當成功連線到控制伺服器後，控制伺服器提供了功能全面的控制命令完成攻擊

指令詳情如下：

以上是該後門的所有功能列舉，攻擊者通過指令可以完成對目標機器的完全操控，任意啟動程式，執行下發的檔案，快速在內網中構建出攻擊陣地，並向內滲透。同時該後門支援對檔案hash進行校驗，避免了誤操作或者上傳無效檔案。設定登錄檔項則是為了提供持久駐留功能，保證系統重啟後仍能正常執行後門功能。該後門支援獲取程式資訊，有利於監控當前計算機是否被人使用，且是否具有價值，同時也可以作為檢測依據，避免自動化分析系統引匯出惡意行為及流量，有利於隱藏自身。後門提供了等待時間調整的介面，在被監測到異常行為後攻擊者可以選擇長時間靜默，躲避監測，降低了暴露後丟失據點的可能性。

可以看到攻擊者精心構造了整個後門，功能非常完善，且觸發條件十分苛刻，有效的避免了被沙箱等自動化分析工具檢出。

IOC

所有的IOC及特徵均由FireEye披露在Github上：

https://github.com/fireeye/sunburst_countermeasures

檔案hash