Solarwinds Orion是一款功能強(qiáng)大的網(wǎng)絡(luò)性能監(jiān)控程序，這就是目前為什么全球有超過45000用戶，不論是小公司還是全球500強(qiáng)企業(yè)，都信任和使用Solarwinds來探索、配置、監(jiān)控和管理日趨復(fù)雜的系統(tǒng)和構(gòu)建網(wǎng)絡(luò)基礎(chǔ)構(gòu)架的流程。

FireEye最近發(fā)現(xiàn)了一個名叫UNC2452 的攻擊者利用Solarwinds的監(jiān)控框架來發(fā)起全球性攻擊，這項攻擊可能早在2020年年初就開始了。

SUNBURST后門

SolarWinds.Orion.Core.BusinessLayer.dll是Solarwinds Orion程序框架的SolarWinds數(shù)字簽名組件，其中包含一個后門，該后門通過HTTP與第三方服務(wù)器進(jìn)行通信，此SolarWinds Orion插件的木馬版本，即SUNBURST。

攻擊者通過該后門會檢索并執(zhí)行稱為“作業(yè)”的命令，這些命令包括傳輸文件、執(zhí)行文件、分析系統(tǒng)、重啟設(shè)備和禁用系統(tǒng)服務(wù)的功能。該惡意程序?qū)⑵渚W(wǎng)絡(luò)流量偽裝成 Orion Improvement Program (OIP) 協(xié)議，并將監(jiān)控結(jié)果存儲在合法的插件配置文件中，允許其融入合法的Solarwinds活動。后門使用多個模糊的黑名單來識別作為進(jìn)程、服務(wù)和驅(qū)動程序運(yùn)行的取證和殺毒程序工具。

SolarWinds數(shù)字簽名程序的后門

從2020年3月到5月，多個被木馬化的更新被數(shù)字簽名并發(fā)布到Solarwinds更新網(wǎng)站上。

被木馬化的更新文件是一個標(biāo)準(zhǔn)的Windows安裝程序修復(fù)文件，包括與更新相關(guān)的壓縮資源，包括被木馬化 的SolarWinds.Orion.Core.BusinessLayer.dll組件。一旦更新被安裝，惡意的DLL將被合法的solarwind可執(zhí)行文件SolarWind.BusinessLayerHost.exe或SolarWindws.BusinessLayerHostx64.exe(取決于系統(tǒng)配置)加載。

攻擊影響

FireEye已經(jīng)在全球多個企業(yè)中檢測到這種活動，受害者包括北美、歐洲、亞洲和中東的政府、咨詢、技術(shù)、電信等企業(yè)。

通過跟蹤分析，此攻擊活動是一個名為UNC2452的攻擊組織發(fā)起的。在獲得最初的訪問權(quán)限后，攻擊便會使用各種技術(shù)逃避檢測。

攻擊過程

(1) 使用了TEARDROP和BEACON惡意軟件

在分析的樣本中，攻擊者使用了TEARDROP和BEACON惡意軟件，TEARDROP是一個內(nèi)存刪除器，它作為一個服務(wù)運(yùn)行，生成一個線程并從文件“gracious_truth.jpg”中讀取，該文件可能有一個偽裝的JPG標(biāo)頭文件。接下來，它檢查HKU\SOFTWARE\Microsoft\CTF是否存在，使用自定義滾動XOR算法解碼嵌入式有效載荷，并使用類似于PE的自定義文件格式將嵌入式有效載荷手動加載到內(nèi)存中。 TEARDROP的代碼與之前看到的任何惡意程序都沒有重疊。

(2) 處理信息

file_operation_closed 
 file-path*: “c:\\windows\\syswow64\\netsetupsvc.dll 
 actor-process: 
 pid: 17900 

Windows Defender Exploit Guard保護(hù)日志如下：

Process”\Device\HarddiskVolume2\Windows\System32\svchost.exe” (PID XXXXX) would have been blocked from loading the non-Microsoft-signed binary 
 ‘\Windows\SysWOW64\NetSetupSvc.dll’ 

(3) 攻擊者的主機(jī)名與受害者的環(huán)境匹配

攻擊者在其命令和控制基礎(chǔ)設(shè)施上設(shè)置主機(jī)名，以匹配在受害者環(huán)境中找到的合法主機(jī)名。這使得攻擊者能夠逃避檢查。

攻擊者基礎(chǔ)結(jié)構(gòu)會在RDP SSL證書中泄漏其已配置的主機(jī)名，這可以在網(wǎng)上掃描數(shù)據(jù)中識別出來。這為防御者提供了一個檢測機(jī)會，查詢整個網(wǎng)上的掃描數(shù)據(jù)源中組織的主機(jī)名可以發(fā)現(xiàn)可能偽裝成組織的惡意IP地址。 將網(wǎng)上掃描數(shù)據(jù)中標(biāo)識的IP列表與遠(yuǎn)程訪問日志進(jìn)行交叉引用可能會在環(huán)境中識別出攻擊。

(4) 對受害者國家/地區(qū)的IP地址進(jìn)行分析

攻擊者對IP地址的選擇也進(jìn)行了優(yōu)化，以逃避檢測。攻擊者主要利用虛擬專用服務(wù)器使用與受害者來自同一國家的IP地址。

(5) 使用不同憑據(jù)進(jìn)行感染

一旦攻擊者使用受攻擊的憑據(jù)獲得對網(wǎng)絡(luò)的訪問權(quán)限，他們就會使用多個不同的憑據(jù)進(jìn)行橫向移動，用于橫向移動的憑據(jù)始終與用于遠(yuǎn)程訪問的憑據(jù)不同。

(6) 臨時文件替換和臨時任務(wù)修改

攻擊者使用臨時文件替換技術(shù)來遠(yuǎn)程執(zhí)行攻擊程序，他們用攻擊程序替換了合法程序，執(zhí)行了有效載荷，然后還原了合法原始文件。他們通過更新現(xiàn)有合法任務(wù)以執(zhí)行其工具，然后將計劃任務(wù)返回到它的原始配置來操縱計劃任務(wù)。他們通常會刪除他們的工具，包括一旦實現(xiàn)合法的遠(yuǎn)程訪問就刪除后門。

深入惡意軟件分析

SolarWinds.Orion.Core.BusinessLayer.dll(b91ce2fa41029f6955bff20079468448)是Orion軟件框架中由SolarWinds簽名的插件組件，其中包含經(jīng)過混淆的后門，該后門通過HTTP與第三方服務(wù)器進(jìn)行通信。經(jīng)過長達(dá)兩周的初始休眠期后，它會檢索并執(zhí)行稱為“作業(yè)”的命令，這些命令包括傳輸和執(zhí)行文件，對系統(tǒng)進(jìn)行配置文件以及禁用系統(tǒng)服務(wù)的功能。后門的行為和網(wǎng)絡(luò)協(xié)議與合法的SolarWinds活動融為一體，例如偽裝成Orion改進(jìn)程序(OIP)協(xié)議并將檢測結(jié)果存儲在插件配置文件中。后門程序使用多個阻止列表，以通過進(jìn)程、服務(wù)和驅(qū)動程序識別取證和殺毒軟件工具。

攻擊能力

• 執(zhí)行子域域名生成算法(DGA)來改變DNS請求;
• CNAME響應(yīng)指向惡意軟件要連接到的C2域;
• 記錄響應(yīng)的IP阻止控制惡意軟件的行為;
• 指揮和控制偽裝為合法的“Orion改進(jìn)程序計劃”;
• 代碼通過使用偽裝的變量名和綁定合法組件隱藏在普通站點(diǎn)中。

傳播和安裝

經(jīng)過授權(quán)的系統(tǒng)管理員可以通過SolarWinds網(wǎng)站傳播的程序包獲取并安裝SolarWinds Orion更新。更新包CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp(02af7cec58b9a5da1c542b5a32151ba1)包含此報告中描述的SolarWinds.Orion.Core.BusinessLayer.dll。安裝后，Orion程序框架執(zhí)行.NET程序SolarWinds.BusinessLayerHost.exe來加載包括SolarWinds.Orion.Core.BusinessLayer.dll的插件。該插件包含許多在Orion框架內(nèi)實現(xiàn)功能的合法名稱空間、類和例程。清晰可見的類SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer實現(xiàn)了基于HTTP的后門。邏輯上不相關(guān)的例程SolarWinds.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager.RefreshInternal中的代碼在加載庫存管理器插件時調(diào)用后門代碼。

SolarWinds.Orion.Core.BusinessLayer.dll由SolarWinds簽名，使用序列號為0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed的證書。該文件簽署于2020年3月24日。

初始化：

在執(zhí)行惡意的SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer.Initialize方法后，該樣本將驗證其小寫進(jìn)程名稱的哈希值是否為17291806236368054941。此哈希值計算為標(biāo)準(zhǔn)FNV-1A 64位哈希，并帶有附加值計算FNV-1A之后，通過6605813339339102567進(jìn)行XOR，此哈希與名為businesslayerhost.exe的進(jìn)程匹配。

DGA和阻止列表

后門使用域生成算法(DGA)確定其C2服務(wù)器，以構(gòu)造和解析avsvmcloud[.]com的子域。Update方法負(fù)責(zé)初始化生成這些隨機(jī)C2子域的密碼助手，這些子域與下面的一個連接在一起，創(chuàng)建要解析的主機(jī)名:

• appsync-api.eu-west-1[.]avsvmcloud[.]com
• appsync-api.us-west-2[.]avsvmcloud[.]com
• appsync-api.us-east-1[.]avsvmcloud[.]com
• appsync-api.us-east-2[.]avsvmcloud[.]com

獲得進(jìn)程名稱、服務(wù)名稱和驅(qū)動程序路徑列表，并通過FNV-1a + XOR算法對每個值進(jìn)行哈希處理，并對照硬編碼的阻止列表進(jìn)行檢查。在此分析過程中，其中一些哈希已被暴力逆向，這表明這些例程正在掃描分析工具和殺毒引擎組件。如果找到阻止列表的進(jìn)程，則更新例程將退出，并且樣本將繼續(xù)嘗試執(zhí)行該例程，直到阻止列表通過為止。通過將其列入名單的服務(wù)的HKLM \ SYSTEM \ CurrentControlSet \ services \< service_name >\Start注冊表項設(shè)置為值4來停止禁用。

如果在系統(tǒng)中找到服務(wù)列表中的某些條目，則可能會影響DGA算法在生成的值方面的行為。停止服務(wù)的列表將被位打包到appSettings條目的ReportWatcherPostpone鍵中，用于示例的配置文件。如果有任何服務(wù)被轉(zhuǎn)換為禁用，則Update方法將退出并稍后重試。該示例通過WMI查詢Select*從Win 32_SystemDriver檢索驅(qū)動程序列表。如果看到任何塊列表驅(qū)動程序，則Update方法退出并重試。如果所有的塊列表測試都通過了，則示例嘗試解析api.solarwins.com來測試網(wǎng)絡(luò)的連接性。

網(wǎng)絡(luò)命令和控制(C2)

如果所有阻止列表和連接性檢查均通過，則樣本將通過其DGA在while循環(huán)中開始生成域。本文的樣本將延遲域生成之間的隨機(jī)間隔;此時間間隔可以是1到3分鐘，30到120分鐘或在錯誤條件下最長420到540分鐘(9小時)范圍內(nèi)的任意隨機(jī)值。根據(jù)控制惡意程序行為的IP地址塊的硬編碼列表檢查生成的域的DNS A記錄。以下范圍內(nèi)的記錄將終止惡意程序，并將配置項ReportWatcherRetry更新為阻止進(jìn)一步執(zhí)行的值：

10.0.0.0/8 
172.16.0.0/12 
192.168.0.0/16 
224.0.0.0/3 
fc00:: - fe00:: 
fec0:: - ffc0:: 
ff00:: - ff00:: 
20.140.0.0/15 
96.31.172.0/24 
131.228.12.0/22 
144.86.226.0/24 

一旦在CNAME DNS響應(yīng)中成功檢索到域，該樣本將產(chǎn)生一個新的執(zhí)行線程，調(diào)用該方法負(fù)責(zé)所有C2通信和調(diào)度的HttpHelper.Initialize方法。 HTTP線程通過延遲由SetTime命令控制的可配置時間開始。兩次調(diào)用之間，HTTP線程將至少延遲1分鐘。當(dāng)請求數(shù)據(jù)時，該惡意程序使用HTTP GET或HEAD請求，而當(dāng)C2輸出數(shù)據(jù)發(fā)送到服務(wù)器時，則使用HTTP PUT或HTTP POST請求。當(dāng)有效載荷小于10000字節(jié)時，將使用PUT方法，否則將使用POST。 If-None-Match HTTP標(biāo)頭將先前計算出的userID的XOR編碼表示形式保留為值，并附加一個長度相同的隨機(jī)字節(jié)數(shù)組。

JSON有效載荷適用于所有HTTP POST和PUT請求，并且包含 “userId”，“sessionId”和“steps”項。 “steps”字段包含具有以下項的對象列表：“時間戳”，“索引”，“事件類型”，“事件名稱”，“持續(xù)時間”，“成功”和“消息”。 JSON項“EventType”被硬編碼為值“Orion”，而“EventName”被硬編碼為“EventManager”。將發(fā)送到服務(wù)器的惡意程序響應(yīng)消息進(jìn)行DEFLATE壓縮和單字節(jié)XOR編碼，然后在“steps”數(shù)組的“消息”字段之間進(jìn)行拆分。每個“消息”值均經(jīng)過Base64編碼。并非“steps”數(shù)組中的所有對象都構(gòu)成了惡意程序消息，“時間戳”字段中的整數(shù)必須設(shè)置為0x2位，以指示惡意程序消息中使用了“消息”字段的內(nèi)容。

逃避方法

在觀察到的流量中，這些HTTP響應(yīng)對象試圖看起來像與.NET程序集相關(guān)的良性XML，但是命令數(shù)據(jù)實際上分布在存在的許多GUID和HEX字符串中。通過使用以下正則表達(dá)式搜索HEX字符串，從HTTP響應(yīng)主體中提取命令"\{[0-9a-f-]{36}\}"|"[0-9a-f]{32}"|"[0-9a-f]{16}"。命令數(shù)據(jù)分布在多個字符串中，這些字符串偽裝成GUID和HEX字符串。響應(yīng)中的所有匹配子字符串都將針對非HEX字符進(jìn)行過濾，合并在一起并進(jìn)行HEX解碼。第一個DWORD值顯示消息的實際大小，緊隨其后的是消息，其后是可選的其他垃圾字節(jié)。使用消息的第一個字節(jié)對提取的消息進(jìn)行單字節(jié)XOR解碼，然后對其進(jìn)行DEFLATE解壓縮。第一個字符是ASCII整數(shù)，它映射到JobEngine枚舉，并帶有由空格字符分隔的可選附加命令參數(shù)。

然后根據(jù)命令值將命令發(fā)送到JobExecutionEngine，如下所述。

支持的命令

緩解辦法

Solarwinds建議所有客戶立即升級到Orion最新版本，該版本目前可通過SolarWinds客戶門戶獲得。此外，你可以點(diǎn)此了解SolarWinds發(fā)布的其他緩解和強(qiáng)化說明。

如果你無法使用solarwind的建議，則可以采用以下緩解技術(shù)：

(1) 確保solarwind服務(wù)器被隔離/控制，直到進(jìn)行進(jìn)一步的檢查和調(diào)查。這應(yīng)該包括屏蔽Solarwinds服務(wù)器的所有互聯(lián)網(wǎng)出口。

(2) 如果Solarwinds基礎(chǔ)設(shè)施不是處于隔離狀態(tài)，可以考慮采取以下步驟：

• 限制與solarwind服務(wù)器終端的連接范圍;
• 限制在solarwind服務(wù)器上擁有本地管理員特權(quán)的帳戶的范圍;
• 使用SolarWinds程序阻止來自服務(wù)器或其他終端的互聯(lián)網(wǎng)出口;
• 更改有權(quán)訪問SolarWinds服務(wù)器/基礎(chǔ)結(jié)構(gòu)的帳戶的密碼;
• 如果solarwind用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施，可以考慮對網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查，以防止意外/未經(jīng)授權(quán)的修改。