*** 黑客信息平台网:从技术性视角深层次分析SolarWinds侵入事情

访客4年前关于黑客接单1296

全文详细地址:

最近,很多机构都遭受了SolarWinds侵入事情的危害。就各种各样征兆看来,这好像是一起对于 *** 部门和私人机构的有目的性的进攻。到迄今为止,此次进攻的危害范畴依然并不是十分清晰,可是已经知道的是, *** 黑客根据故意的SolarWinds Orion升级得到了对受害人系统软件的访问限制,而且,有千余客户安装了这种升级。

因为 *** 攻击可以浏览SolarWinds手机软件的开发设计和交货安全通道,进而使她们可以将恶意代码加上到名叫SolarWinds.Orion.BusinessLayer.dll的SolarWinds Orion服务平台驱动软件中。针对这类供应链管理进攻而言,因为受感柒的dll具备相对的电子签名,促使恶意软件长期未被发现,进而对客户导致了极大的危害。

image.png

在此次侵入事情中,被感染的二进制文件是.Net程序流程集,在其中包括Orion架构的很多合理合法名字室内空间、类和方式 。那样的话, *** 攻击就能将自身的编码与合理合法编码结合在一起。另外,恶意代码做为OrionImprovementBusinessLayer类的一部分掩藏在其中,而此类能够根据建立进程来实行,以防止终断dll的基本流称。事实上,建立进程的编码是RefreshInternal方式 中的一部分,后面一种是dll中一个被感染的方式 。

image.png

为了更好地保存文档中的硬编码值,如过程、服务等列表,恶意软件应用了FNV-1ahash算法的组合,将测算出的字符串哈希值与硬编码值开展XOR解决。

image.png

除开以哈希值方式保存硬编码值外,该恶意软件还应用了DEFLATE压缩算法来保存WMI查看、注册表项和动态口令等字符串数组。

image.png

在恶意代码逐渐实行时,会开展各种各样查验,以保证编码是在适合的环境中运行:

image.png

过程名字为solarwinds.busslayerhost.exe。

dll最少提早12到14天(288到336钟头)载入硬盘。

根据下列查验来查验系统软件的网站域名是不是合理:

不可包括其哈希值储存在文档中的这些字符串数组。

不可与标准关系式(?i)([^a-z]|^)(test)([^a-z]|$)或(?i)(solarwinds)相符合。

image.png

除此之外,它还会继续依据文档中以哈希值方式储存的过程、服务和驱动软件列表,对已经运作的过程、驱动软件和服务开展相对的查验。这看上去与查验系统软件上是不是存有防护软件相关。

image.png

假如在系统软件上寻找一切发生在查验列表中的服务,恶意软件便会根据控制HKLM\\SYSTEM\\CurrentControlSet\\Services下的服务注册表文件来禁止使用该服务。因此,它更先会寻找一个新的使用者,方式 是枚举类型根据查看“Select * From Win32_UserAccount”得到的客户列表。它会检查用户帐户是不是当地帐户,而且SID是不是以S-1-5开始、以-500末尾,以保证它是当地管理人员帐户。

image.png

寻找相对的帐户后,恶意软件根据为其本身授于SeRestorePrivilege和SeTakeOwnershipPrivilege权利,使发觉的帐户变成待改动的注册表文件的使用者。

image.png

为了更好地获得已安裝的驱动软件,它会应用Select * from Win32_SystemDriver WMI开展查看。

该恶意软件的关键作用便是一个HTTP侧门,它与C&C服务器开展通讯,并得到必须实行的指令。为了更好地获得C&C服务器的详细资料,它会分析一个与众不同的FQDN,构造以下所显示:

{subdomain}.domain3.domain2.domain1

domain3=[eu-west-1, us-west-2, us-east-1, us-east-2]

domain2=appsync-api

domain1=avsvmcloud.com

image.png

image.png

该恶意软件完成了自身的网站域名转化成优化算法,便于每一次都能转化成一个唯一的二级域名。该DGA优化算法应用为系统生成的8字节客户ID和系统软件的网站域名来转化成二级域名。

image.png

做为DGA优化算法的键入之一,系统软件的客户ID是根据从系统软件搜集到的下列数据信息转化成的:

网线端口的物理地址

系统软件的网站域名

来源于HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography的MachineGuid注册表值

它会将之上三个值相互连接,并测算联接后的字符串数组的MD5,随后开展自定的XOR计算,进而转化成相对的客户ID。

image.png

做为DGA优化算法的一部分,它用换置表“rq4gsalt6u1iyfzop572d49bnx8cvmkewhj”和随机数字系统对的网站域名开展编号。

image.png

在对网站域名开展编号后,恶意软件便会应用客户ID、随机数字和换置表“ph2eifo3n5utg1j8d94qrvbmk0sal76c”转化成一个字符串数组。

image.png

随后,它将编号后的客户id与编号后的网站域名相互连接,进而获得一个二级域名。这促使每一个恶意软件案例的二级域名和FQDN网站域名全是不尽相同的。

image.png

该恶意软件会查验转化成的FQDN网站域名是不是已被分析,以获得IPAddress构造中的详细资料。除此之外,它还会继续查验分析的IP地址是不是与查看的IP地址同样,随后依据IP列表和编码中硬编码的掩码查验分析的IP的详细地址族。假如不一致得话,则将分析的IP地址作为侧门的C2IP地址。

image.png

做为C2通讯的一部分, *** 攻击尝试根据应用 *** ON文件格式的HTTP通讯来效仿SolarWinds通讯方式 。下列是用以建立 *** ON文件格式的编码:

image.png

*** ON文件格式:

{

"userId": ,

"sessionID": ,

"steps":

{

{

"Timestamp": "",

"Index":,

"EventType": "Orion",

"EventName": "EventManager",

"DurationMs":,

"Succeeded":true,

"Message": ""

}

}

}

HTTP侧门会将json数据信息发送至C2服务器,假如通讯取得成功,服务器便会回到历经编号解决的指令;收到指令后,该侧门将应用关系式0-9a-f360-9a-f320-9a-f16分析该指令。

image.png

image.png

下边是在编码中硬编码的已编解码指令列表。

image.png

从指令列表能够看得出,这款恶意软件可以搜集系统信息,应用注册表文件,删掉硬盘上的另一个文档,并运作它。

大家调查了好多个受适用指令。在其中,CollectSystemDescription指令用以搜集网站域名、登录名、OS版本号和 *** 配置关键点等信息内容。

image.png

做为获得 *** 配置详细资料的一部分,恶意软件应用select * From Win32_NetworkAdapterConfiguration where IPEnabled=true实行WMI查看,并分析下列字段名:

Description

MACAddress

DHCPEnabled

DHCPServer

DNSHostName

DNSDomainSuffixSearchOrder

DNSServerSearchOrder

IPAddress

IPSubnet

DefaultIPGateway

image.png

为了更好地获得电脑操作系统详细资料,它会实行以下WMI Query,即Select * From Win32_OperatingSystem。

image.png

从编码中我们可以见到,它能够删掉第二阶段的恶意软件,并实行它。

image.png

最终,我们可以得到以下结果: *** 攻击在此次侵入中应用的技术性比较复杂,在其中包含供应链管理进攻、编码数据及其动态性分析,这些。另外, *** 攻击的重心点并并不是对受感柒的系统软件开展重挫,只是致力于不被 *** 安全产品发觉足迹。在将来的日子里,相近进攻将更加普遍。

相关文章

中国最大的黑客公司(中国最小黑客)

中国最大的黑客公司(中国最小黑客)

  年仅13岁的汪正杨是中国年龄最小的黑客。   13岁时,入侵学校在线答题系统就是为了不想写作业。修复100多个漏洞,虽然这些漏洞很初级。曾向360库计划提交过可能影响上百家教育网站的系统漏洞。他声...

找黑客查找聊天记录-黑客黑进你的手机怎么办

找黑客查找聊天记录-黑客黑进你的手机怎么办

找黑客查找聊天记录相关问题 如何黑客进入微信相关问题 黑客使用什么键盘 怎么偷上别人的微信密码(键盘记录器偷密码)...

莫妮卡贝鲁奇黑客帝国3丰胸照片(莫妮卡在黑客帝国)

莫妮卡贝鲁奇黑客帝国3丰胸照片(莫妮卡在黑客帝国)

本文目录一览: 1、电影的超大波女是谁?叫什么名字? 2、黑客帝国2里面坐梅若宝基恩旁边那个女的是谁,求资料 3、黑客帝国里那个要尼奥吻她才给钥匙的女星(那个酷男的老婆)是何人?太正点了!...

安卓解压,找黑客解封qq空间,网上被骗找黑客有用吗

[1][2][3][4][5][6][7][8][9][10][11][12][13]黑客接单渠道选用airssl.sh这个bash脚本,树立垂钓热门。 private void Sh...

观想法(道家十二重楼观想法)

  观想法(道家十二重楼观想法)   吸引力法则与心能量的结合能够促进愿望的显化,达到事半功倍的效果。如何创造心能量,如何使用心能量,这些都是非常值得讨论的问题。今天我们就聊聊关于心能量的那些事。  ...

真实黑客找微信号-黑客入侵高手(黑客入侵高手添加)

真实黑客找微信号-黑客入侵高手(黑客入侵高手添加)

真实黑客找微信号相关问题 黑客比赛叫什么名字相关问题 黑客脸上的面具叫什么 如何定位她的手机(如何定位手机号位置) 如何检测是否被黑客连接 远程监控苹果手机屏幕(手机远程监...