近期，数以千计的安排受到了一次供应链进犯的影响，该进犯损坏了SolarWinds Orion软件的更新机制，以交付名为Sunburst的后门特洛伊木马程序(Sunburst后门)（又名Solorigate）。

安全公司FireEye于12月13日披露了袭击的细节。SolarWinds还为其客户发布了一份安全主张。

这场进犯活动至少从2020年3月就开始了。任何在这段时刻内下载更新的Orion软件的用户都或许感染了Sunburst。据FireEye称，进犯者对他们感兴趣的受害者安排子集进行了进一步的歹意活动。

从本质上讲，供应链进犯是不会进行区别方针的，它会感染任何被损坏软件的用户。它们的履行是为了让进犯者可以拜访很多的安排，其中的一个子集将被确定为进一步运用的方针；发现了少数安排的第二级有效载荷(Teardrop后门)被运用了。

Sunburst分析

一个名为Sunburst.Orion.Core.BusinessLayer.dll会被进犯者修改为包括一个添的类。该歹意软件设计为在安装后一段时刻内坚持非活动状态。然后它将测验解析avsvmcloud.com的子域。DNS响应将传递一个CNAME记载，该记载将定向到指令和操控（C&C）域。

Sunburst.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager.RefreshInterval（）代码被添加到调用OrionImprovementBusinessLayer.Initialize().OrionImprovementBusinessLayer是进犯者添加的歹意类。

它具有如下功用：

● 终止后门线程

● 设置履行前的延迟时刻

● 搜集并上传体系信息，包括：

◆ 域

◆ 管理员账户的SID

◆ 主机名

◆ 用户名

◆ 操作体系版别

◆ 体系目录途径

◆ 体系发动后经过的天数

◆ 有关网络适配器的信息，包括：

■ 描述

■ MAC地址

■ DHC启用

■ DHCP服务器

■ DNS名称

■ DNSDomainSuffixSearchOrder

■ DNSServerSearchOrder

■ IP地址

■ IPSubnet网络

■ 默认IP网关

● 下载并运行代码

● 遍历文件体系

● 创建和删去文件

● 计算文件哈希

● 读取、写入和删去注册表项

● 重新发动体系

第二阶段负载：Teardrop

第二阶段的有效载荷，一个称为Teardrop的后门，部署在进犯者感兴趣的方针上。赛门铁克观察到了Teardrop的两个变种，两个变种的行为相似，并被用来传递另一个有效载荷——CobaltStrike歹意软件。

第一个变体（SHA256:b820e8a2057112d0ed73bd7995201dbed79a79e13c79d4bdad81a22f12387e07）是一个DLL。歹意代码包括在导出Tk_CreateImageType，序号209中。履行时，歹意代码读取名为upbeat的文件_焦虑.jpg并保证它具有来自jpg的当前目录头。它还将检查注册表项HKCU\Software\Microsoft\CTF是否存在。然后提取并履行CobaltStrike的嵌入副本。这个CobaltStrike示例连接到InfinitySoftware[.]com进行指令和操控。

第二个变体（SHA256:1817a5bf9c01035bcf8a975c9f1d94b0ce7f6a20039485d8f93859f8f6d730c）相似，仅仅它加载的文件名为festive_computer.jpg，嵌入式CobaltStrike有效载荷连接到ervsystem[.]com以进行指令和操控。

植入后进犯链

一台被调查的计算机的后进犯链看到了开始的Sunburst歹意软件，一个经过修改的sunburst.orion.core.businesslayer.dll，经过Orion更新过程安装在受害者电脑上，时刻是11月7日。

21天后，合法的可履行文件solarwinds.businesslayerhost.exe加载歹意DLL，此动态链接库名为cbsys.dll，坐落c:\windows\panther文件夹中。这个文件名和途径看起来很不寻常，因为大多数Teardrop实例都是在一个名为netsetupsvc.dll在c:\windows\syswow64文件夹中。

这个后门是一个DLL，其中包括导出Tk_CreateImageType中包括的歹意代码。履行时，该导出将读取名为upbeat的upbeat_anxiety.jpg并保证它具有来自jpg的当前目录。它还将检查注册表项HKCU\Software\Microsoft\CTF是否存在。然后提取一个嵌入的CobaltStrike副本。CobaltStrike会连接C&C服务器InfinitySoftware.com。

此刻，进犯者发动WMI以履行rundll32.exe来加载另一个名为resources.dll(在途径csidl\u windows\desktoptileresources\)，resources.dll测验经过拜访获取凭证lsass.exe文件运用相似于Mimikatz的技能（一个广泛运用的操作体系凭证转储东西）。

Adfind是一个可以查询activedirectory的东西，然后作为searchindex.exe然后被履行(指令行.exe/cSearchIndex.exe-sc u:>.\h.txt），其结果保存在h.txt文件中。运用此信息，进犯者企图获得提升的权限（例如域管理员）来拜访域或横向遍历环境。

推荐举动

Orion用户应更新至平台版别2020.2.1 HF 2。

Orion用户应检查其网络是否存在泄露后活动的痕迹，包括：

1.运用Teardrop内存歹意软件投进CobaltStrike信标；

2.指令和操控（C&C）基础结构泄漏RDP SSL证书中配置的主机名，扫描您安排的主机名可以发现进犯者运用的歹意IP地址，这表明存在泄露后活动；

3.对用于长途拜访的IP地址进行地理位置定位或许会发现一个被损坏的账户是否一起被合法用户和进犯者运用；

4.进犯者对每个VPS提供程序运用多个IP地址，假如发现来自异常ASN的歹意登录，则来自该ASN的其他登录也或许是歹意的；

5.SMB会话的日志或许显现对合法目录的拜访，并在短时刻内遵循delete-create-execute-delete-create形式。

应当记住，虽然在植入后的活动中或许有一些共同点，但每个受害者在活动中或许会看到不同的形式。这一活动很或许涉及很多运用本地（off the land）技能，以尽量削减被发现的或许性，进犯者似乎依据他们怎么进行第一阶段的进犯来优先考虑这一点。