關於SolarWinds受到感染,趨勢科技的建議

2020/12/21 

Sunburst 是什麼?

近期一起複雜的攻擊Sunburst通過供應鏈發起攻擊。SolarWinds Orion網路監控程式的某一版本遭駭,致使攻擊者使用此SolarWinds Orion提供的權限,將一個稱為Sunburst的後門程式植入受駭的電腦中,而此後門程式使攻擊者擁有內部網路完整權限。

Sunburst是一個複雜的後門程式,幾乎可提供攻擊者完全的存取權限。在執行之前,Sunburst會檢查程序名稱雜湊值和註冊機碼是否已設置為特定參數,它也僅在首次感染系統後的十二天時才執行,且僅在已加入到網域的電腦上執行。這些特定的執行環境設定使研究人員的分析更加困難,但某種程度上也限制了受害者的範圍。
Sunburst 會通過各種網域連回其C&C伺服器,這些網域命名採用以下格式:
{random strings}.appsync-api.{subdomain}.avsvmcloud.com
而其子網域是以下字串之一:
• eu-west-1
• eu-west-2
• us-east-1
• us-east-2
Sunburst 成功侵入系統後,就可以搜集有關受影響系統的資訊,也可以執行各種命令。它可以收集到的資訊包括:
• 網域名稱(Domain name)
• 網路卡介面資訊(Network interfaces)
• 執行中的程序及服務(Running processes/services)
• 已安裝驅動程式(Installed drivers)
這些資訊可用於產生受影響電腦的識別ID,或用於檢查黑名單-如果在電腦上找到某些驅動程式、執行程序、服務,則Sunburst將停止執行。
可以執行的命令包括:
• Registry operations (read, write, and delete registry keys/entries)
• File operations (read, write, and delete files)
• Run/stop processes
• Reboot the system

影響範圍

據信,Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案,攻擊者將惡意程式碼插入了合法程式碼中,因此下載該軟體的人都可能受到威脅,但此流程發生於組建過程,原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出,從2020年3月至6月,有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中,它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

解決方案

1. SolarWinds發出安全公告,建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本,並列出了適當的產品及其版本。
2. 美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線,並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器,並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
3. 趨勢科技產品:
● 病毒碼更新至16.415.00版本,可偵測與該攻擊相關的惡意檔案為:
 ○ Backdoor.MSIL.SUNBURST.A
 ○ Trojan.MSIL.SUPERNOVA.A
● 趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
● 趨勢科技 Deep Security過濾規則:
 ○ 1010669 - Identified Malicious Domain – SolarWinds
 ○ 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
 ○ 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
● 趨勢科技TippingPoint過濾規則:
 ○ 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
 ○ 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
● 趨勢科技DDI 偵測規則:
 ○ 4491- SUNBURST - DNS (RESPONSE)

Indicators of Compromise

趨勢科技產品已可偵測之相關惡意檔案,其雜湊值與偵測名稱如下表:

趨勢科技也已封鎖相關網域:
● avsvmcloud
 com
● databasegalore
 com
● deftsecurity
 com
● highdatabase
 com
● incomeupdate
 com
● panhardware
 com
● thedoccloud
 com
● zupertech
 com