腾讯安全对SolarWinds供应链攻击事件的技术分析及产品应对

腾讯电脑管家

一、事件背景

2020年12月13日，据海外媒体报告，某黑客组织掌控了美财政部电子邮件系统进行间谍活动（Suspected Russian hackers spied on U.S. Treasury emails - sources）。

知情人士称，该黑客组织一直在监视美财政部、商务部的内部电子邮件流量。并表示，到目前为止发现的黑客攻击可能只是冰山一角，白宫于上周六召开国家安全委员会会议讨论此问题。腾讯安全正密切关注该事件，已对该事件进行应急响应。

据外媒报告，网络间谍通过暗中篡改IT公司SolarWinds发布的软件更新而获得的，该公司为美政府客户提供服务。该技巧通常称为“供应链攻击”，其作用是将恶意代码隐藏在第三方提供给目标的合法软件包内投放。

相关新闻报告后不久，国外知名的安全公司fireeye发布了分析报告《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》，详细披露了该攻击事件的技术细节以及检测规则。Fireeye把本次攻击行动命名为UNC2452，传播的后门被命名为SUNBURST后门。

（以下为Fireeye研究报告机翻截图）。

二、事件详情

SolarWind是著名的IT管理软件和远程监控工具，具有广泛的用户群体。客户包括了”财富美国500强“（Fortune 500）企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局，以及美国总统办公室等。

攻击者通过修改文件SolarWinds.Orion.Core.BusinessLayer.dll，并且给文件打上了Solarwinds Worldwide，LLC的数字签名，以此来绕过检测。该dll会被Orion平台通过 SolarWind.BusinessLayerHost.exe或SolarWindws.BusinessLayerHostx64.exe来进行加载（取决于系统配置）。

被替换的SolarWinds.Orion.Core.BusinessLayer.dll模块新增加了一个木马功能类，信息如下:

然后根据不同的三级域名加DGA做CNAME查询:

得到cname回复，证明C2存活后才执行命令控制：

相应的C2指令和功能如下（根据fireeye报告）：

而被替换的App_Web_logoimagehandler.ashx.b6031896.dll插件新增了一个DynamicRun方法，用于从http中执行相关命令:

三、影响范围

根据SolarWinds官方发布安全公告，SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 - 2020.2.1版本都受到了供应链攻击的影响，这些版本的安装包内存在恶意的后门应用程序。

此外，根据腾讯安全威胁情报中心检测，该攻击受影响的用户不仅限于美国，也包括欧洲、亚洲、中东等，SolarWinds Orion平台软件在中国内地也有部分用户。

四、解决方案

腾讯安全专家建议使用SolarWinds Orion平台软件的用户检测是否安装2019.4 - 2020.2.1版，建议尽快升级到 2020.2.1 HF2。目前，腾讯全系产品都已经支持本次供应链攻击的检测。

腾讯安全根据相关资料披露的信息对该后门在中国的影响进行评估，已证实国内有部分企业受此后门影响。目前腾讯安全全系列产品已针对该事件进行应急响应，响应清单如下：

五、总结

供应链攻击，已经成为APT攻击中的常用攻击手段，该攻击方法攻击隐蔽，检测困难，且危害极大。近些年来被披露的供应链攻击也越来越多，攻击越来越频繁，包括xcode、ccleaner、shadowhammer、驱动人生事件等等。

因此我们建议相关企业，如软件提供商、设备提供商等等供应链企业，务必提升自我的安全能力，保障供应链的安全。

值得注意是，本次通过SolarWind供应链攻击的事件跟上周曝光的fireeye被黑客入侵并被曝光武器库的事件是否存在一定的关联？目前还不得而知。因为暂时未发现直接的证据。我们也会持续的跟踪和分析相应的情报。

六、附录

IOCs

MD5846e27a652a5e1bfbd0ddd38a16dc865
2c4a910a1299cdae2a4e55988a2f102e
56ceb6d0011d87b6e4d7023d7ef85676

Domain

6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[。] com

7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[。] com

gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[。] com

ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[。] com

k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[。] com

mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[。] com  

deftsecurity [。]com

freescanonline [。]com

thedoccloud [。] com

websitetheme [。]com

highdatabase [。]com

Incomeupdate [。]com

databasegalore [。]com

panhardware [。] com

zupertech [。] com

IP：

13.59.205.66

54.193.127.66

54.215.192.52

34.203.203.23

139.99.115.204

5.252.177.25

5.252.177.21

204.188.205.176

51.89.125.18

167.114.213.199

参考链接：

1.https://www.fireeye.com/blog/thr ... burst-backdoor.html

2.https://www.solarwinds.com/securityadvisory

3.https://www.reuters.com/article/ ... urces-idUSKBN28N0PG