天際友盟：SolarWinds供應鏈攻擊事件總結報告（14頁）.pdf

1、5.4.SUNSPOT 植入程序CrowdStrike 研究人員發現 SolarWinds 攻擊者是通過一個被命名為 SUNSPOT 的工具來將 SUNBURST 插入到SolarWinds 更新包中。其監控涉及 Orion 產品編譯的運行進程 MsBuild.exe，并替換了一個源文件，以使編譯出來的產品中包含 SUNBURST 后門。SUNSPOT 被開發人員內部命名為 taskhostw.exe，根據二進制文件中的構建時間戳，它可能構建于 2020-02-20 11:40:02，基本吻合此次供應鏈事件的時間表。攻擊者通過創建主機啟動時執行的計劃任務集來維持 SUNSPOT的持久性。同時還

2、會創建文件(C:WindowsTempvmware-vmdmp.log)來記錄錯誤以及部署信息。通過修改安全令牌(添加 SeDebugPrivilege)來授予自身調試權限。除此之外，SUNSPOT 通過一些保護機制(如檢查互斥體)， 避免由于代碼替換引起的編譯錯誤引發開發人員察覺。5.5.GoldMax、GoldFinder、Sibot 組件2021 年 3 月 4 日，Microsoft 發布相關報告，跟蹤披露了該活動后期階段(橫向移動后)使用的系列組件(GoldMax、Sibot、GoldFinder)，這些惡意軟件最早可能在 2020 年 6 月就已在受感染的系統上使用。GoldMax

3、(被 FireEye 稱為“SUNSHUTTLE”)惡意軟件采用 Go 語言編寫，主要作為與 C2 進行通信的后門，通過模擬系統管理軟件上的計劃任務，以保持持久性。GoldMax 使用了幾種不同的技術來混淆惡意活動并逃避檢測。該惡意軟件將加密的配置文件寫入磁盤，配置文件名基于環境變量和其相關的運行網絡信息生成。其通過與 C2 建立會話密鑰通信以進行安全通信，C2 可以通過偽隨機生成的 cookie 發送命令。GoldMax 配備了混淆惡意流量的功能，該功能啟用后，惡意軟件會發起偽隨機數量的對合法域和 C2 域的 HTTP GET 請求。Sibot 是一個由 VBScript 編寫的惡意組件，功

4、能包括持久性維護和下載執行有效負載。其模擬合法的 Windows任務名稱，存儲在注冊表或加密存儲在磁盤上，通過預定的任務執行。腳本可以通過參數設置來進行自定義，包括：運行有效負載的命令行、有效負載的安裝目錄、下載有效負載的 C2 服務器地址、用于下載的 HTTP 請求類型等。GoldFinder 是一個采用 Go 語言編寫的惡意組件，可以作為自定義 HTTP 跟蹤器，其記錄數據包到達硬編碼的C2 服務器的路由或跳數。GoldFinder 會發出對硬編碼 IP 地址的 HTTP 的請求，并將響應記錄到 .txt 文件中，記錄的信息包括：目標(C2 URL)、StatusCode(HTTP 響應

5、/ 狀態碼)、標頭(HTTP 響應標頭及其值)、數據(來自 C2 的 HTTP 響應數據)。該組件根據響應狀態碼和 HTTP Location 字段來判斷下一步操作和進行日志文件記錄，從而識別 HTTP 代理服務器和重定向器。此次 SolarWinds 供應鏈攻擊活動，攻擊者通過在軟件下載的源頭植入惡意代碼，并利用多個惡意軟件分發定制Cobalt Strike，導致使用此軟件的企業相繼中招，并且其后續攻擊也逐步顯現。目前針對這次攻擊的幕后黑客組織及其意圖也有諸多猜測：(1)2021 年 1 月 12 日，有團伙在網站(hxxp:/ (25b23446e6c29a8a1a0 aac37fc3b6

6、5543fae4a7a385ac88dc3a5a3b1f42e6a9e) 并聲稱該字符串與其獲取這批數據的方式有關。該字符串符合 SHA256 特征，但是通過搜索，目前并未找到與之相關的公開文件。大膽推測，如果該網站的確是此次供應鏈事件的幕后者所有，那此 SHA256 對應文件很可能存在于受害者的環境中，而不會被公開。換個角度來看，該泄露網站的出現似乎透露出幕后組織主要是為了獲取更多經濟利益為目的而發起的攻擊。但是該網站如此“簡單粗暴”的 “要錢”和攻擊者開發后門時的嚴謹完全不像一個風格，這不得不讓人懷疑這極有可能是一些犯罪團伙為了蹭此次事件的熱度而進行的詐騙操作，另一方面，也有可能是攻擊者想

7、借此掩飾一下真實的意圖和身份。(2)2021 年 1 月中旬，多家國外公司爆出其微軟 365 及郵件系統受到攻擊，并明確承認受到此次攻擊鏈的影響，這更加印證了攻擊者橫向擴展的目的，主要是獲取更多的用戶憑據，從而拿到更有價值的信息來進行后續攻擊。(3)從網上披露的通過 DGA 解密的相關受害者信息我們可以看到，該事件影響范圍相當廣泛，涉及到多家巨頭公司和政府機構，其中還包括一些知名網絡安全廠商。而攻擊者耐心潛伏，逐步挑選目標才進行后續攻擊?？梢?，攻擊者無論在開發水平、攻擊策略、攻擊水平上都有著很強的實力。綜合來看，SolarWinds 供應鏈攻擊的幕后組織針對性很強，符合 APT 攻擊組織的特點，并且有著的強大的技術能力和完備的運作管理方式。但是截至目前，攻擊者的攻擊動機似乎還是難以捉摸。隨著此次攻擊的后續影響范圍逐步擴大，相信會有越來越多的攻擊事件細節被披露，而其背后組織的真面目也會逐漸浮出水面。我們將持續跟蹤整個事件的最近進展。