技術分析
RSS

TeamT5 安全性通報-知名 IT 監控平臺 SolarWinds Orion 證實遭供應鏈攻擊

12.16.2020Global Support & Service
Share:

知名 IT 監控平臺 SolarWinds 淪陷,近期已有多個採用該平臺的組織遭到攻擊

說明

SolarWinds 在今年 3 月到 6 月間釋出 2019.4 HF 5 至 2020.2.1 版本的 SolarWinds Orion Platform 遭到駭客供應鏈攻擊,導致服務存在遠端執行後門程式,公開情資指出,這是來自俄羅斯攻擊族群 APT29 的針對性攻擊行動。
SolarWinds 已進行修補並釋出 Orion Platform 2020.2.1 HF 1,預計在 12 月 15 日釋出 2020.2.1 HF 2,建議各單位在 2020.2.1 HF 2 釋出後立即更新,此一版本不只修補了有問題的元件,也進一步提供安全措施。
FireEye 日前公布遭受駭客攻擊,提供的公開情資包含 SolarWinds 相關元件(SolarWinds.Orion.Core.BusinessLayer.dll),TeamT5 取得樣本並分析其中的惡意程式 SUNBURST。
201215通報-1.png 圖一、惡意程式的 Job Class 提供各種操作指令
201215通報-2.png 圖二、透過 HTTP 和 Orion Improvement Program(OIP)傳輸指令

受影響的版本

  • SolarWinds Orion Platform 2019.4 HF 5
  • SolarWinds Orion Platform 2020.2 – 2020.2 HF 1

修補與防範建議

  • 隔離 Orion server 直到 SolarWinds 提供修補程式並安裝
  • 於 ThreatSonar 檢查是否有使用 SolarWinds
    1. 點擊威脅狩獵功能
    2. 點擊 Certificates
    3. 搜尋 SolarWinds 的憑證 thumbprint,搜尋語法:
      thumbprint = 47D92D49E6F7F296260DA1AF355F941EB25360C4
    4. 點擊 Obj Cnt.下方數字,檢查是否有包含 Orion 名稱的項目
201215通報-3.png 圖三、威脅狩獵功能搜尋 SolarWinds 的憑證
201215通報-4.png 圖四、搜尋 Orion 確認是否存在相關檔案

FireEye 公開的 IoC 資訊

  • 中繼站 Domain 以及 IP

IOC類型
avsvmcloud[.]comDomain
freescanonline[.]comDomain
deftsecurity[.]comDomain
thedoccloud[.]comDomain
websitetheme[.]comDomain
highdatabase[.]comDomain
incomeupdate[.]comDomain
databasegalore[.]comDomain
panhardware[.]comDomain
zupertech[.]comDomain
13.59.205[.]66IP Address
54.193.127[.]66IP Address
54.215.192[.]52IP Address
34.203.203[.]23IP Address
139.99.115[.]204IP Address
5.252.177[.]25IP Address
5.252.177[.]21IP Address
204.188.205[.]176IP Address
51.89.125[.]18IP Address
167.114.213[.]199IP Address
  • 檔案 Hash(MD5)
IOC類型
02af7cec58b9a5da1c542b5a32151ba1MD5 Hash
08e35543d6110ed11fdf558bb093d401MD5 Hash
2c4a910a1299cdae2a4e55988a2f102eMD5 Hash
846e27a652a5e1bfbd0ddd38a16dc865MD5 Hash
b91ce2fa41029f6955bff20079468448MD5 Hash
4f2eb62fa529c0283b28d05ddd311faeMD5 Hash
56ceb6d0011d87b6e4d7023d7ef85676MD5 Hash

參考資料

*圖片來源:Pixabay
12.16.2020Global Support & Service
Share: