由于在SolarWinds供应链攻击之后,法医证据正在慢慢被发掘出来,安全研究人员发现了第二个威胁参与者,它利用SolarWinds软件在公司和政府网络上植入恶意软件。
关于第二个威胁参与者的详细信息仍然很少,但安全研究人员不相信这第二个实体与疑似俄罗斯政府支持的黑客有关,这些黑客入侵SolarWinds,在其官方猎户座应用程序中插入恶意软件。
最初攻击中使用的恶意软件,代号为Sunburst(或Solorigate),作为猎户座应用程序的一个陷阱更新被交付给SolarWinds客户。
在受感染的网络上,该恶意软件会ping其创建者,然后下载名为Teardrop的第二阶段后门特洛伊木马程序,该特洛伊木马程序允许攻击者开始动手操作键盘会话,也称为人为操作攻击。
但在href=“https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/“target=”太阳风黑客事件的公开披露,初始报告提到两个第二阶段有效载荷。
来自指导点,Symantec,以及Palo Alto Networks详细介绍了攻击者如何植入名为Supernova
的.NET网页外壳,安全研究人员认为攻击者利用超新星网络外壳下载、编译和执行恶意的Powershell脚本(有些人将其命名为CosmicGale),我们不需要把这一事件视为“超级新星”的攻击https://versprite.com/blog/security-research/explication-of-remote-services/" target=“_blank”rel=“noopener noreferrer nofollow”data component=“externalLink”>在GitHub上发布,作者是Microsoft安全分析师Nick Carr,超新星网络外壳似乎安装在SolarWinds Orion装置上,这些装置已经暴露在网络上,未进行匹配,易受跟踪到的漏洞的攻击,如CVE-2019-8917
超新星与太阳暴+泪滴攻击链有关的混淆来自于这样一个事实,即与太阳暴一样,超新星被伪装成猎户座应用程序的动态链接库(DLL),而太阳爆发则隐藏在中太阳风.Orion.Core.业务层.dll文件和超新星内部应用程序网站_logoimagehandler.ashx.b6031896.dll
但是href=“https://www.microsoft.com/security/blog/2020/12/18/analysis-solorigate-the-inquired-dll-file-that-started-a-composite-cyberal-attack-and-how-microsoft-defender-helps-protect/“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>分析发布于周五晚些时候,12月18日,微软表示,与Sunburst DLL不同,Supernova DLL没有使用合法的SolarWinds数字证书进行签名。
Supernova没有被签名的事实被认为是攻击者的一个非常不寻常的事实,在此之前,他们在运营中表现出高度的复杂性和对细节的关注。
这包括在SolarWinds的内部网络中花费数月时间未被发现,事先向Orion应用程序添加虚拟缓冲区代码,以掩饰随后添加的恶意代码,把他们的恶意代码伪装成让它看起来像是SolarWinds的开发人员自己编写的
所有这一切看起来都是最初的攻击者不会犯下的明显错误,因此,微软认为该恶意软件与最初的SolarWinds供应链攻击无关。
Firefox将“网络分区”作为新的反跟踪防御措施,Mozilla禁止哈萨克斯坦的MitM HTTPS证书市场
通过注册,您同意
2023-03-22 10:04:24
Copyright © 2017-2023 soword.cn SOWORD科技言
网站地图 BUG反馈 联系我们 用户隐私
栖族科技开发服务中心
浙公网安备 33011002016917号
京ICP备19009350号-2
soword科技言免费资源网站,免费API接口,免费开发模板,免费开发工具,开发技术问题,汉化版免费开发工具,API接口,开发教程,免费教程
SOWORD科技言
