在緊鑼密鼓，日以繼夜分析SolarWinds Orion供應(yīng)鏈攻擊時，安全研究人員發(fā)現(xiàn)了另一個后門，而這個后門很可能來自另外一個高級威脅組織（APT），換而言之，SolarWinds可能被至少兩個APT組織滲透，而且兩個組織很有可能并非合作關(guān)系。

　　“日爆”之后還有“超新星”

　　最初發(fā)現(xiàn)的Orion后門被FireEye命名為SUNBURST（日爆），這個最新發(fā)現(xiàn)的惡意軟件名為SUPERNOVA（超新星），從字面上看起來比“日爆”威力還大。SUPERNOVA是一個植入Orion網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視平臺代碼中的Webshell，使攻擊者能夠在運行木馬版Orion的計算機上運行任意代碼。

　　根據(jù)派拓網(wǎng)絡(luò)（Palo Alto Networks）的調(diào)查，該Webshell是SolarWinds Orion軟件中存在的合法。NET庫（app_web_logoimagehandler.ashx.b6031896.dll）的木馬變體，攻擊者對其進行了修改，使其可以逃避自動防御機制。

　　Orion軟件使用DLL公開HTTP API，從而允許主機在查詢特定GIF圖像時響應(yīng)其他子系統(tǒng)。

　　派拓網(wǎng)絡(luò)高級安全研究員Matt Tennis指出：SUPERNOVA背后的黑客手法極為巧妙，在合法DLL文件中植入的代碼質(zhì)量非常高，以至于即使是人工審核分析代碼也很難發(fā)現(xiàn)。

　　分析表明，攻擊者在合法的SolarWinds文件中添加了四個新參數(shù)，以接收來自命令和控制（C2）服務(wù)器的指令。

　　惡意代碼僅包含一種方法——DynamicRun，該方法可將參數(shù)動態(tài)編譯到內(nèi)存中的。NET程序集中，因此不會在受感染設(shè)備的磁盤上留下任何痕跡。

　　資料來源：Palo Alto Networks

　　這樣，攻擊者可以將任意代碼發(fā)送到受感染的設(shè)備，并在用戶的上下文中運行該代碼，目標(biāo)用戶通常在網(wǎng)絡(luò)上具有較高的特權(quán)和可見性。

　　目前，SUPERNOVA惡意軟件樣本已被上傳到VirusTotal，可被69個防病毒引擎中的55個檢測到。

　　目前尚不清楚SUPERNOVA在Orion軟件中存在了多久，但Intezer的惡意軟件分析系統(tǒng)顯示其編譯時間戳為2020年3月24日。

　　黃雀在后？

　　根據(jù)調(diào)查的結(jié)果，SUPERNOVA出自一個高級黑客組織之手，該組織將Webshell攻擊技術(shù)提升到了一個新的高度。

　　“盡管。NET Webshell相當(dāng)常見，但大多數(shù)公開研究的樣本都只是接受命令和控制（C2）參數(shù)，并執(zhí)行一些相對淺層次的利用?！盩ennis說。

　　研究人員補充說，SUPERNOVA不同尋常之處在于，能以有效的。NET程序作為參數(shù)并執(zhí)行內(nèi)存中的代碼，除初始C2請求之外，不再需要其他網(wǎng)絡(luò)回調(diào)。

　　而大多數(shù)Webshell需要在運行時環(huán)境中運行載荷，或通過調(diào)用諸如CMD、PowerShell或Bash之類的子Shell或進程。

　　微軟認為，與入侵網(wǎng)絡(luò)安全公司FireEye和美國政府多個部門的攻擊者相比，SUPERNOVA可能是另一個獨立的高級威脅組織的“作品”。

　　微軟在事件調(diào)查安全咨文中指出：“事情出現(xiàn)了有趣的轉(zhuǎn)折，業(yè)界調(diào)查SolarWinds Orion（SUNBURST，微軟稱之為Solarigate）后門時卻發(fā)現(xiàn)了另一個后門（惡意軟件），而且該惡意軟件也入侵了SolarWinds Orion產(chǎn)品，但很可能與本次SolarWinds供應(yīng)鏈攻擊（及其背后的攻擊者）無關(guān)，是另外一個攻擊者的工具?！?/p>

　　微軟的判斷依據(jù)是，SUPERNOVA沒有數(shù)字簽名，這與最初發(fā)現(xiàn)的SunBurst/Solarigate木馬化了的SolarWinds.Orion.Core.BusinessLayer.Dll庫不同。

　　目前，上述網(wǎng)絡(luò)安全公司尚未給出兩種惡意軟件的歸因定論，但認定都是出自APT組織之手。