红队视角看 Sunburst 后门中的 TTPs
作者:蓝军高级威胁团队@深信服千里目安全实验室 原文链接: https://mp.weixin.qq.com/s/wtEbawfOd1g_T2ovp1SaGg 1.针对SolarWinds供应链攻击简介 最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性,分析认为攻击者对SolarWinds Orion产品理解程度很深。 有证据表明,早在2019年10月,UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。因此将恶意代码插入原始SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早,甚至可能是在软件构建编译之前。这就导致SolarWinds官方无意间对包含4000行恶意代码的DLL进行了数字签名,这样容易让恶意代码提升权限,并且很难被人发现。感染的Origin软件第一个版本是2019.4.5200.9083,在此几个月的时间内,用户通过下载受到感染的产品版本被感染。目前原始dll文件中没有发现存在动态拓展、也不存在横向移动等后渗透阶段的相关能力支持。 2.Sunburst后门总体流程 总体流程图 (Sunburst的供应链攻击各阶段-图源