在緊鑼密鼓,日以繼夜分析SolarWinds Orion供應鏈攻擊時,安全研究人員發(fā)現(xiàn)了另一個后門,而這個后門很可能來自另外一個高級威脅組織(APT),換而言之,SolarWinds可能被至少兩個APT組織滲透,而且兩個組織很有可能并非合作關系。
“日爆”之后還有“超新星”
最初發(fā)現(xiàn)的Orion后門被FireEye命名為SUNBURST(日爆),這個最新發(fā)現(xiàn)的惡意軟件名為SUPERNOVA(超新星),從字面上看起來比“日爆”威力還大。SUPERNOVA是一個植入Orion網絡和應用程序監(jiān)視平臺代碼中的Webshell,使攻擊者能夠在運行木馬版Orion的計算機上運行任意代碼。
根據派拓網絡(Palo Alto Networks)的調查,該Webshell是SolarWinds Orion軟件中存在的合法。NET庫(app_web_logoimagehandler.ashx.b6031896.dll)的木馬變體,攻擊者對其進行了修改,使其可以逃避自動防御機制。
Orion軟件使用DLL公開HTTP API,從而允許主機在查詢特定GIF圖像時響應其他子系統(tǒng)。
派拓網絡高級安全研究員Matt Tennis指出:SUPERNOVA背后的黑客手法極為巧妙,在合法DLL文件中植入的代碼質量非常高,以至于即使是人工審核分析代碼也很難發(fā)現(xiàn)。
分析表明,攻擊者在合法的SolarWinds文件中添加了四個新參數,以接收來自命令和控制(C2)服務器的指令。
惡意代碼僅包含一種方法——DynamicRun,該方法可將參數動態(tài)編譯到內存中的。NET程序集中,因此不會在受感染設備的磁盤上留下任何痕跡。
資料來源:Palo Alto Networks
這樣,攻擊者可以將任意代碼發(fā)送到受感染的設備,并在用戶的上下文中運行該代碼,目標用戶通常在網絡上具有較高的特權和可見性。
目前,SUPERNOVA惡意軟件樣本已被上傳到VirusTotal,可被69個防病毒引擎中的55個檢測到。
目前尚不清楚SUPERNOVA在Orion軟件中存在了多久,但Intezer的惡意軟件分析系統(tǒng)顯示其編譯時間戳為2020年3月24日。
黃雀在后?
根據調查的結果,SUPERNOVA出自一個高級黑客組織之手,該組織將Webshell攻擊技術提升到了一個新的高度。
“盡管。NET Webshell相當常見,但大多數公開研究的樣本都只是接受命令和控制(C2)參數,并執(zhí)行一些相對淺層次的利用?!盩ennis說。
研究人員補充說,SUPERNOVA不同尋常之處在于,能以有效的。NET程序作為參數并執(zhí)行內存中的代碼,除初始C2請求之外,不再需要其他網絡回調。
而大多數Webshell需要在運行時環(huán)境中運行載荷,或通過調用諸如CMD、PowerShell或Bash之類的子Shell或進程。
微軟認為,與入侵網絡安全公司FireEye和美國政府多個部門的攻擊者相比,SUPERNOVA可能是另一個獨立的高級威脅組織的“作品”。
微軟在事件調查安全咨文中指出:“事情出現(xiàn)了有趣的轉折,業(yè)界調查SolarWinds Orion(SUNBURST,微軟稱之為Solarigate)后門時卻發(fā)現(xiàn)了另一個后門(惡意軟件),而且該惡意軟件也入侵了SolarWinds Orion產品,但很可能與本次SolarWinds供應鏈攻擊(及其背后的攻擊者)無關,是另外一個攻擊者的工具?!?/p>
微軟的判斷依據是,SUPERNOVA沒有數字簽名,這與最初發(fā)現(xiàn)的SunBurst/Solarigate木馬化了的SolarWinds.Orion.Core.BusinessLayer.Dll庫不同。
目前,上述網絡安全公司尚未給出兩種惡意軟件的歸因定論,但認定都是出自APT組織之手。