知名 IT 監控平臺 SolarWinds 淪陷,近期已有多個採用該平臺的組織遭到攻擊
說明
SolarWinds 在今年 3 月到 6 月間釋出 2019.4 HF 5 至 2020.2.1 版本的 SolarWinds Orion Platform 遭到駭客供應鏈攻擊,導致服務存在遠端執行後門程式,公開情資指出,這是來自俄羅斯攻擊族群 APT29 的針對性攻擊行動。
SolarWinds 已進行修補並釋出 Orion Platform 2020.2.1 HF 1,預計在 12 月 15 日釋出 2020.2.1 HF 2,建議各單位在 2020.2.1 HF 2 釋出後立即更新,此一版本不只修補了有問題的元件,也進一步提供安全措施。
FireEye 日前公布遭受駭客攻擊,提供的公開情資包含 SolarWinds 相關元件(SolarWinds.Orion.Core.BusinessLayer.dll),TeamT5 取得樣本並分析其中的惡意程式 SUNBURST。
圖一、惡意程式的 Job Class 提供各種操作指令
圖二、透過 HTTP 和 Orion Improvement Program(OIP)傳輸指令
受影響的版本
- SolarWinds Orion Platform 2019.4 HF 5
- SolarWinds Orion Platform 2020.2 – 2020.2 HF 1
修補與防範建議
- 隔離 Orion server 直到 SolarWinds 提供修補程式並安裝
- 於 ThreatSonar 檢查是否有使用 SolarWinds
- 點擊威脅狩獵功能
- 點擊 Certificates
- 搜尋 SolarWinds 的憑證 thumbprint,搜尋語法:thumbprint = 47D92D49E6F7F296260DA1AF355F941EB25360C4
- 點擊 Obj Cnt.下方數字,檢查是否有包含 Orion 名稱的項目
圖三、威脅狩獵功能搜尋 SolarWinds 的憑證
圖四、搜尋 Orion 確認是否存在相關檔案
FireEye 公開的 IoC 資訊
- 中繼站 Domain 以及 IP
IOC | 類型 |
---|---|
avsvmcloud[.]com | Domain |
freescanonline[.]com | Domain |
deftsecurity[.]com | Domain |
thedoccloud[.]com | Domain |
websitetheme[.]com | Domain |
highdatabase[.]com | Domain |
incomeupdate[.]com | Domain |
databasegalore[.]com | Domain |
panhardware[.]com | Domain |
zupertech[.]com | Domain |
13.59.205[.]66 | IP Address |
54.193.127[.]66 | IP Address |
54.215.192[.]52 | IP Address |
34.203.203[.]23 | IP Address |
139.99.115[.]204 | IP Address |
5.252.177[.]25 | IP Address |
5.252.177[.]21 | IP Address |
204.188.205[.]176 | IP Address |
51.89.125[.]18 | IP Address |
167.114.213[.]199 | IP Address |
- 檔案 Hash(MD5)
IOC | 類型 |
---|---|
02af7cec58b9a5da1c542b5a32151ba1 | MD5 Hash |
08e35543d6110ed11fdf558bb093d401 | MD5 Hash |
2c4a910a1299cdae2a4e55988a2f102e | MD5 Hash |
846e27a652a5e1bfbd0ddd38a16dc865 | MD5 Hash |
b91ce2fa41029f6955bff20079468448 | MD5 Hash |
4f2eb62fa529c0283b28d05ddd311fae | MD5 Hash |
56ceb6d0011d87b6e4d7023d7ef85676 | MD5 Hash |
參考資料
*圖片來源:Pixabay
Related Post
資安警訊
2022.05.31
【TeamT5 資安即時快訊】Office 惡意變種再現: CVE-2022-30190 Follina 詳解
threat hunting, cyber threat intelligence
產品與服務
2020.08.22
調查局 08/19 公布中國對台灣政府機關駭侵事件說明
PLEAD, APT, Taidoor, Blacktech
資安警訊
2022.03.30
【TeamT5 資安即時快訊】Spring Core RCE 零日漏洞
vulnerability research