12月8日,安全公司FireEye首次披露了这次复杂的攻击,我们了解到了更多信息报道它是国家赞助的对手的受害者偷了红色团队评估工具。
12月13日有一个新的发展时,IT公司SolarWinds宣布该公司被黑客攻击,其受损的软件渠道被用来发布恶意更新18,000个Orion平台客户。
这种被称为供应链攻击的场景可能是最狡猾和最难以检测的,因为它依赖于已经被信任并且可以立即广泛分发的软件。收到恶意更新的受害者包括火眼,微软和美国财政部和商务部,使我们在多年来最受目睹的最大网络事件之一。
国土安全部发出了一个紧急指令订购所有联邦机构立即采取措施将受影响的SolarWinds Orion产品离线,并在星期一的任何事件中报告。
我们确实知道威胁演员是一个比安全公司Fireeye偷走的进攻工具更大的奖项,尽管这一事件有助于揭示非常先进的经营。由于这个故事仍在展开,我们将使客户了解任何新的发展。
呼吁采取行动
- 立即隔离运行ORION平台的任何系统版本2019.4 HF 5到2020.1,于2020年3月至6月期间发布。
- 使用扫描您的场所必威平台APP并寻找任何检测,特别是后门。森布斯特和Backdoor.WebShell.。
- 在本博客结束时使用妥协指标在您的日志,遥测和其他SIEM数据中捕捉,以提供对任何潜在入侵的时间表视角。
- 执行全面的安全扫描以查看和硬化您的物理和云基础架构。
- 升级到Orion平台版本2020.2.1 HF 2一旦你对前面的步骤有信心,就可以恢复系统。
进一步阅读
妥协指标(IOC)
这份清单是从几个来源汇总而成的。FireEye和微软这么快就分享了IOCs和ttp,真是值得称赞。
SolarWinds.Orion.Core.BusinessLayer.dll
32519B85C0B4222656DE6E6C41878E95FD95026267DAAB4215EE59C107D6C77
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
AC1B2B89E60707A20E9EB1CA480BC3410EAD40643B386D624C5D21B47C02917C
019085A76BA7126FFF22770D71BD901C325FC68AC55AA743327984E89F4B0134
CE77D116A074DAB7A22A0FD4F2C1AB475F16EEC42E1DED3C0B0AA8211FE858D6
A25CADD48D70F6EA0C4A241D99C5241269E6FACCB4054E62D16784640F8E53BC
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af
0 f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589
6E4050C6A2D2E5E49606D96DD2922DA480F2E0C70082CC7E54449A7DC0D20F8D
Core-2019.4.5220.20574-Solarwinds-Core-V2019.4.5220-HotFix5.Msp
D0D626DEB3F9484E649294A8DFA814C5568F846D5AA02D4CDAD5D041A29D5600
appweblogoimagehandler.ashx.b6031896.dll
C15ABAF51E78CA56C0376522D699C978217BF041A3BD3C71D09193FA5717C71
额外的dll
E0B9EDA35F01C1540134ABA9195E7E6393286DDE3E001FCE36FB661CC346B91D
20 e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9
2 b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d
A3EFBC07068606BA1C19A7EF21F4DE15D15B41EF680832D7BCBA485143668F2D
92BD1C3D2A11FC4ABA2735D9547BD0261560FB20F36A0E7CA2F2D451F1B62690
a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2
CC082D21B9E880CEB6C96DB1C48A0375AAF06A5F444CB0144B70E01DC69048E6
泪珠
B820E8A2057112D0ED73BD7995201DBED79A79E13C79D4BDAD81A22F12387E07
1817A5BF9C01035BCF8A975C9F1D94B0CE7F6A200339485D8F93859F8F6D730C
雨滴(源)
f2d38a29f6727f4ade62d88d8a68de0d52a0695930b8c92437a2f9e4de92e418
be9dbbec6937dfe0a652c0603d4972ba354e83c06b8397d6555fd1847da36725
955609CF0B4EA38B409D523A0F675D8404FEE55C458AD079B4031E02433FDBF3
240年ef5b8392b8c7a5a025c36a7e5b0e03e5bb0d0d1a28703bb22e6159a4fd10e
f2d38a29f6727f4ade62d88d8a68de0d52a0695930b8c92437a2f9e4de92e418
955609CF0B4EA38B409D523A0F675D8404FEE55C458AD079B4031E02433FDBF3
be9dbbec6937dfe0a652c0603d4972ba354e83c06b8397d6555fd1847da36725
网络指标
avsvmcloud [。] com
deftsecurity [。] com
freescanonline [。] com
thedoccloud。com
websitetheme。com
highdatabase。com
损伤率[。] com
databasegalore。com
panhardware。com
Zupertech [。] com
13.59.205 [。] 66
54.193.127 [。] 66
54.215.192 [。] 52
34.203.203 [。] 23
139.99.115 [。] 204
5.252.177。25
5.252.177。21
176年204.188.205(。)
51.89.125 [。] 18
167.114.213 [。] 199
额外的狩猎规则:https://github.com/fireeye/sunburst_countermeasures/tree/main/rules
评论