Solarwinds供应链攻击武器SUNBURST和TEARDROP解析

发布时间：2022-09-02 11:58:28 所属栏目：安全来源：互联网

导读：FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。这次网络攻击具有一定程度的复杂性，导致外国政府迅速介入，这次攻击中的战术和技术细节非常出色。攻击者没有进行常规的网络钓鱼或者漏洞利用攻击，而是进行了精心设

　　FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。这次网络攻击具有一定程度的复杂性，导致外国政府迅速介入，这次攻击中的战术和技术细节非常出色。攻击者没有进行常规的网络钓鱼或者漏洞利用攻击，而是进行了精心设计的供应链攻击。在本文中，我们重点分析了Solarwinds供应链中使用的后门(SUNBURST)及其攻击载荷之一(TEARDROP)的一些功能，包括对SUNBURST的哈希编码字符串进行彻底的模糊处理以及对TEARDROP的控制流和解密方法的分析。

　　后门作者对仅将进程和服务列入黑名单并不满意，他们还将某些设备驱动程序和IP地址的整个范围列入了黑名单，通过将受感染机器的IP转换为域名，该功能用于将所有内部Solarwinds域都列入了黑名单。这告诉我们，不仅攻击者决定使用Solarwinds攻击Uber到达目标，而且还详细了解了Solarwinds内部网络的拓扑结构。总体而言，嵌入在SUNBURST中的哈希编码字符串列表是SUNBURST加入黑名单的200多个域。结果表明，即使是最先进，最顽强的攻击者也不认为自己是无敌的，他们相信自己足够立于不败之地。

　　可在Addeneum I中找到SUNBURST中包含的FNV-1a混淆字符串的完整列表。

　　毫无疑问，这种攻击是一项令人难以置信的大规模黑客技术成就。250多个组织被SolarWinds后门感染，其中一半在美国，在推送恶意代码时，他们确保遵循Solarwinds的编码约定;他们在其初始有效载荷中包含了“逻辑漏洞”，以将恶意活动从初始感染推迟整整两周，并进行动态分析。他们将横向移动限制为使用被盗但有效的用户凭据进行的合法操作。出于所有这些原因，值得注意的是，这种Übermensch层的攻击被用来部署TEARDROP，这仅仅是人为的恶意软件删除程序。

　　在发现之时，TEARDROP是一种新的攻击载荷，从未见过，甚至可能是针对这种攻击量身定制的。它仅针对少数几个目标部署，TEARDROP在内存中运行，但是它确实注册了Windows服务，还会编辑注册表。

　　TEARDROP的控制流程非常简单，在服务执行期间调用DLL导出函数Tk_CreateImageType，该函数将JPEG图像写入当前目录，其名称各不相同;赛门铁克披露过upbeat_anxiety.jpg和festive_computer.jpg，FireEye披露过gracious_truth.jpg。在未经训练的人看来，这些似乎是人为命名的。但是更有可能是通过将两个硬编码单词连接在一起而在任意计算机上随机生成的，而该机器是用来编译该恶意软件的。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

之于勒索软件持乐观态	通往零信任的坦途 SAS
网络安全技术趋向	防范数据偷取从了解其