2020年12月13日，美国 *** 信息安全企业FireEye发布数据分析报告称[1]，SolarWinds 集团旗下的Orion基础设施建设管理系统的发布自然环境遭受黑客联盟侵入， *** 黑客对文档SolarWinds.Orion.Core.BusinessLayer.dll的源代码开展伪造加上了侧门编码，该文件具备合理合法电子签名会随着系统更新下达。侧门编码装扮成Orion OIP协议的总流量开展通讯，将其故意个人行为结合到SolarWinds合理合法个人行为中。FireEye称已在全世界好几个地域检验到进攻主题活动，包含北美地区、欧州、亚洲地区和中东地区的一些 *** 部门、资询、技术性企业。SolarWinds 已在其官网发布安全性公示[2]，发布受影响版本为2019.4 HF 5 - 2020.2.1，并提醒客户升級至2020.2.1 HF 1版本。

SolarWinds企业创立于1999年，总公司坐落于美国得克萨斯州奥斯汀，在好几个我国设立市场销售和产品研发服务处，关键生产制造营销 *** 和系统软件检测管理类专业的软件项目，为全世界三十万家顾 *** 务，遮盖了 *** 部门、国防、文化教育等很多关键组织和超出9成的全球500强公司，著名顾客明细包含：《美国財富》 500强公司中的425家；美国十大电力公司；美国军队全部五个支系；五角大楼，美国国务院办公厅，NASA，NSA，美国邮政局，NOAA，美国司法部门和美国总统公司办公室；美国前五名会计事务管理；全世界百余所高校等。

2.1 进攻全过程

攻击者在侵入SolarWinds后，将其官方网站出示的Orion软件安装包换成嵌入侧门的版本，进而完成供应链管理预制构件进攻。SolarWinds.Orion.Core.BusinessLayer.dll部件被攻击者伪造，增加了名叫“SolarWinds.Orion.Core.BusinessLayer”的包括恶意代码的类涵数，相关函数名字取名历经社会工作者掩藏，难以人眼观查鉴别。

图 2-1 攻击者增加的恶意代码

图 2-2恶意代码的复位涵数

遭伪造的SolarWinds.Orion.Core.BusinessLayer.dll部件有着“Solarwinds Worldwide，LLC”的合理合法电子签名，这表明恶意代码的嵌入点在文档电子签名阶段以前，有可能是在源代码设计阶段自然环境、编译程序自然环境和待签字的二进制发布阶段。在进到系统软件的12到14天后，当被Orion服务平台的SolarWinds.BusinessLayerHost.exe或SolarWinds.BusinessLayerHostx64.exe控制模块载入时，事后恶意代码会获得运作。

最后嵌入设备的是攻击者撰写的SUNBURST侧门，该侧门根据网站域名avsvmcloud.com按二级域名转化成优化算法（DGA）传出DNS要求，C2通信根据HTTP协议书且装扮成Orion手机软件的平时改进方案总流量（Orion Improvement Program，OIP），最后从C2回复的XML数据信息中载入隐写的指令和荷载并实行，侧门具有的能力素质以下：

表 2-1 SUNBURST侧门的命令作用

依据FireEye发布的汇报，根据嵌入的恶意代码获得主战场后，攻击者会在失陷互联网中进行横着挪动，浏览大量设备获得SAML（安全系数肯定编译语言）动态口令以盗取Azure AD的文档、创建持久化等实际操作，或根据TEARDROP部件在运行内存中嵌入Cobalt Strike 木马病毒。

2.2 有关样版的威胁架构角度剖析

该事情牵涉到好几个进攻情景，如：攻击者怎样完成对SolarWinds的渗入侵入，及其怎样运用供应链管理嵌入从而侵入别的总体目标等。因现阶段尚欠缺更立即的当场信息内容，大家仅就供应链管理嵌入的恶意代码，从威胁架构角度给予点评。选用威胁架构角度点评的缘故取决于， *** 安全管理手机软件有别于一般系统软件，一旦被嵌入侧门，可产生严重危害。因为 *** 安全管理手机软件自身含有远程访问监管作用，并且早已配备了管理 *** 等级的浏览凭据，其一旦被攻击者操控，就变成了非常RAT。因而，攻击者的活动会被视作合规管理姿势，无法检测其对被管理目标的浏览，其传出的“管理 *** 姿势”，也是一切正常状况下能产生的个人行为。攻击者可以不需根据渗入获得决策权，也不用耗费系统漏洞、运用专用工具和推广完成持久化停留。大家依据恶意代码有关样版，绘图出威胁荷载工作能力图普。在其中，用鲜红色遮盖的是恶意代码自身可进行的进攻战术动作，而用虚线的是进一步将网管软件做为RAT能够拓展开展的进攻战术动作。另外必须表明的是，因为有关恶意代码自身能够完成粗粒度的远程控制实际操作（如载入文档、改动加上注册表文件键值等），根据有关实际操作，自身早已能够支撑点比较丰富的进攻战术动作，因而有关校准并不全方位，此图关键用以展现根据供应链管理对网管软件开展恶意代码预制构件，然后在侵入情景里将网管软件做为RAT二次运用产生的伤害。

图2-3 有关恶意代码预制构件 网管软件沦落RAT的威胁架构图普累加

2.3 危害及伤害

SolarWinds发布官方网安全性公示[2]，称受影响的Orion手机软件处在2020年3月至2020年6月间发布的2019.4 HF5至2020.2.1版本中间，并提议顾客应尽早升級到2020.2.1 HF1版本以保证安全，在不可以立即升級的状况下应根据服务器防火墙限定Orion Platform的Internet浏览且仅保存必需端口号。SolarWinds将于2020年12月15日（星期二）发布完全更换易受感柒部件和具有安全性结构加固作用的2020.2.1 HF2版本。

依据FireEye发布的全世界检验被害客户及SolarWinds 的受众群体客户数据分析，在我国客户应并不是此事情的进攻总体目标。但是，因为SolarWinds 受众群体顾客独特性，（其朝向的顾客关键为 *** 工程师或营运商），一旦这种客户黑客攻击，攻击者根据她们能够产生更高范畴的黑客攻击和深层危害。

2.4 事情相关性分析猜想

FireEye企业在先前发布公示和Blog文章内容，表明了其遭受过侵入，造成 蓝队专用工具遭受盗取的状况，安天CERT对于此事开展了跟踪剖析，并依次发布了《FireEye红队工具失窃事件分析和思考》[3]（查看更多），《FireEye红队工具失窃事件跟进分析》[4]（查看更多）。安天CERT判断觉得FireEye遭受侵入事情和FireEye发布SolarWinds供应链管理进攻事情很有可能存有一定关系，更先，FireEye在本身产生遭受侵入盗取，危害到其顾客信赖和信誉状况下，跟踪发布大事件证实其高級威胁发觉逻辑思维能力，开展危害对冲交易，减少不良影响，是一种有效的挑选。

含有侧门的版本在汇报发布后一段时间仍然能够从SolarWinds官网免费下载，从这一点这看来，该汇报发布比较匆忙，仍未产生发布前的合理应急处置连动。但我们不趋向觉得它是一篇FireEye的贮备汇报，而觉得很有可能存有一种很有可能，即FireEye也是SolarWinds Orion手机软件的客户，进而使攻击者找到进攻通道。而FireEye恰好是在回朔自身被侵入的缘故全过程中，发觉了这一被伪造的 *** 安全管理手机软件，并发觉了有关进攻主题活动。

自然，所述只有做为一种有效猜测。

2.5 事情总结、预防提议、安天回应

因为关键信息管理系统都依靠一个巨大的IT供应链管理运作，因而供应链管理即威胁的通道，也是一个极其巨大的防御力正脸。而在供应链管理风险性中，因为网管软件应用人群的是高管理权限的互联网管理人员，攻击者很善于对于该类手机软件的开发人员进行进攻，使之变成侵入别的高使用价值总体目标的起点、跳板。

表 2-2 网管软件有关的一部分供应链管理安全事故

应用SolarWinds Orion手机软件的客户当今应尽早升級到2020.2.1 HF1版本。2020年12月15日（星期二）另再升級到具有目的性安全性结构加固作用的2020.2.1 HF2版本。时下处在受感柒版本没法进行安全补丁的应暂停使用此软件或以服务器防火墙阻隔此软件的外网访问，或将其对策配备在受到限制IP浏览。

该事情被曝出后，安天之一时间升級了360病毒库、威胁情报库、安全设置库，并对定阅安天高級威胁追朔服务客户发布了高級威胁专用型追朔包。安天智甲终端设备防护系统能够在升級后检验到有关样版。

安天探海威胁检测系统能够对有关威胁的C2开展发觉阻拦。

安天今天将发布用以开展威胁清查应急处置的AVL PK尤其版本。

[1]Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor

[2]SolarWinds Security Advisory

[3]《FireEye红队工具失窃事件分析和思考》

[4]《FireEye红队工具失窃事件跟进分析》