關於SolarWinds受到感染,趨勢科技的建議

Sunburst 是什麼？

近期一起複雜的攻擊Sunburst通過供應鏈發起攻擊。SolarWinds Orion網路監控程式的某一版本遭駭，致使攻擊者使用此SolarWinds Orion提供的權限，將一個稱為Sunburst的後門程式植入受駭的電腦中，而此後門程式使攻擊者擁有內部網路完整權限。

Sunburst是一個複雜的後門程式，幾乎可提供攻擊者完全的存取權限。在執行之前，Sunburst會檢查程序名稱雜湊值和註冊機碼是否已設置為特定參數，它也僅在首次感染系統後的十二天時才執行，且僅在已加入到網域的電腦上執行。這些特定的執行環境設定使研究人員的分析更加困難，但某種程度上也限制了受害者的範圍。
Sunburst 會通過各種網域連回其C&C伺服器，這些網域命名採用以下格式：
{random strings}.appsync-api.{subdomain}.avsvmcloud.com
而其子網域是以下字串之一：
• eu-west-1
• eu-west-2
• us-east-1
• us-east-2
Sunburst 成功侵入系統後，就可以搜集有關受影響系統的資訊，也可以執行各種命令。它可以收集到的資訊包括：
• 網域名稱（Domain name）
• 網路卡介面資訊（Network interfaces）
• 執行中的程序及服務（Running processes/services）
• 已安裝驅動程式（Installed drivers）
這些資訊可用於產生受影響電腦的識別ID，或用於檢查黑名單-如果在電腦上找到某些驅動程式、執行程序、服務，則Sunburst將停止執行。
可以執行的命令包括：
• Registry operations (read, write, and delete registry keys/entries)
• File operations (read, write, and delete files)
• Run/stop processes
• Reboot the system

影響範圍

據信，Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案，攻擊者將惡意程式碼插入了合法程式碼中，因此下載該軟體的人都可能受到威脅，但此流程發生於組建過程，原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出，從2020年3月至6月，有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中，它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

解決方案

SolarWinds發出安全公告，建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本，並列出了適當的產品及其版本。
美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線，並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器，並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
趨勢科技產品：

病毒碼更新至16.415.00版本，可偵測與該攻擊相關的惡意檔案為：
- Backdoor.MSIL.SUNBURST.A
- Trojan.MSIL.SUPERNOVA.A
趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
趨勢科技 Deep Security過濾規則：
- 1010669 - Identified Malicious Domain – SolarWinds
- 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
- 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
趨勢科技TippingPoint過濾規則：
- 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
- 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
趨勢科技DDI 偵測規則:
- 4491- SUNBURST - DNS (RESPONSE)

Indicators of Compromise

趨勢科技產品已可偵測之相關惡意檔案，其雜湊值與偵測名稱如下表：

SHA256	SHA1	Trend Micro Detection
019085a76ba7126fff22770 d71bd901c325fc68ac55aa743 327984e89f4b0134	2f1a5a7411d015d 01aaee4535835400191645023	Backdoor.MSIL.SUNBURST.A
c15abaf51e78ca56c0376522 d699c978217bf041a3bd3c71d 09193efa5717c71	75af292f34789a1c 782ea36c7127bf6106f595e8	Trojan.MSIL.SUPERNOVA.A
ce77d116a074dab7a22a0fd4 f2c1ab475f16eec42e1ded3c0 b0aa8211fe858d6	d130bd75645c2433 f88ac03e73395fba172ef676	Backdoor.MSIL.SUNBURST.A
32519b85c0b422e4656de6e6 c41878e95fd95026267daab4 215ee59c107d6c77	76640508b1e7759e 548771a5359eaed353bf1eec	Backdoor.MSIL.SUNBURST.A
d0d626deb3f9484e649294a8 dfa814c5568f846d5aa02d4c dad5d041a29d5600	1b476f58ca366b54f3 4d714ffce3fd73cc30db1a	Backdoor.MSIL.SUNBURST.A

趨勢科技也已封鎖相關網域：

avsvmcloud[.]com
databasegalore[.]com
deftsecurity[.]com
highdatabase[.]com
incomeupdate[.]com
panhardware[.]com
thedoccloud[.]com
zupertech[.]com