admin 管理员组文章数量: 1184232
Part1 前言
大家好,我是ABC_123。在两年前,我一连写了4篇文章较为详细介绍了Solarwinds供应链攻击事件,展示了俄罗斯APT组织APT29舒适熊(注意,不是APT28奇幻熊)在APT攻击事件中的令人震惊的表现。最近ABC_123重新查阅最近几年新公布的国外文献,继续补充其中的技术细节,希望对大家日常的渗透与防御有所帮助。
注:在阅读本文之前,建议读者对 SolarWinds 供应链攻击事件有一定的了解,否则可能难以全面理解俄罗斯APT29的Sunburst后门的技术脉络。目前,ABC_123 已针对该事件发布了四篇阶段性分析文章,对部分技术细节与攻击链条进行了详细探讨,大家感兴趣可以研究一下:
《第64篇:史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)》
《第65篇:探索顶级APT后门Sunburst的设计思路(修正篇)Solarwinds供应链攻击中篇》
《第66篇:顶级APT后门Sunburst通信流量全过程复盘分析(修正篇)》
《第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程》
Part2 技术研究过程
补丁后门Sunburst的加载与运行
攻击者将木马植入SolarWinds 补丁安装包中的 Windows 安装程序里,并以 SolarWinds.Orion.Core.BusinessLayer.dll 组件的形式嵌入其中。一旦受害者安装了补丁,这个恶意 DLL 就会被合法的 SolarWinds.BusinessLayerHost.exe 或 SolarWinds.BusinessLayerHostx64.exe 加载,SUNBURST 将其配置存储在合法的 SolarWinds.Orion.Core.BusinessLayer.dll.config 文件中。经过大约两周的潜伏期后,该 DLL会尝试解析域名 avsvmcloud 的某个子域名,而其DNS响应中会返回一个指向后续 C2 域名的 CNAME 记录。整个通信过程被巧妙地伪装成 SolarWinds 产品正常的通信流量,从而大大增加了隐蔽性。
攻击者创建了SUNSPOT工具,用于监视.Net的编译进程,在编译过程中,将Sunburst后门代码写入Orion补丁更新包中。Sunspot工具在磁盘上以文件名 taskhostsvc.exe 存在,其在开发者内部被命名为 taskhostw.exe。根据二进制文件中的构建时间戳推测,该样本极有可能于 2020-02-20 11:40:02 编译完成,这一时间点与目前评估的 Solarwinds 供应链攻击时间线相吻合。为了持久化,攻击者通过创建一个在主机启动时执行的计划任务来确保 SUNSPOT 得以长期运行。
Sunburst后门的dga通信阶段
该后门利用域名生成算法 DGA 来构造并解析 avsvmcloud 的子域名,以此确定其指挥控制 C2 服务器。其中的 Update 方法负责初始化加密工具,用于生成这些随机化的 C2 子域名。具体生成方式是:将受害者的用户 ID 与本地
本文标签: 全貌 供应链 后门 通信 SolarWinds
版权声明:本文标题:第132篇:SolarWinds供应链攻击补充——Sunburst后门通信全貌揭秘 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1763206790a3220886.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论