黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析

這篇文章將為大家詳細講解有關(guān)黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：域名注冊、網(wǎng)頁空間、營銷軟件、網(wǎng)站建設(shè)、長順網(wǎng)站維護、網(wǎng)站推廣。

攻擊者可能已將SolarWinds Orion軟件中的一個身份驗證繞過漏洞作為0-day漏洞，在目標環(huán)境中部署SuperNova惡意軟件。

根據(jù)美國CERT/CC 12月26日發(fā)布的一則安全公告，用于與所有其他Orion系統(tǒng)監(jiān)控和管理產(chǎn)品連接的SolarWinds Orion API存在一個安全漏洞（CVE-2020-10148），遠程攻擊者可利用該漏洞執(zhí)行未經(jīng)身份驗證的API命令，從而入侵SolarWinds實例。

該公告指出，通過在發(fā)給該API的URI的Request.PathInfo部分包含特定的參數(shù)，可繞過該API的身份驗證。

特別是，如果攻擊者將‘WebResource.adx’，‘ScriptResource.adx’，‘i18n.ashx’或‘Skipi18n’的PathInfo參數(shù)附加到發(fā)給SolarWinds Orion服務(wù)器的請求，SolarWinds會設(shè)置SkipAuthorization標識，這可能會導(dǎo)致在不需要身份驗證的情況下處理該API請求。

SolarWinds 12月24日更新了此前的安全公告，指出攻擊者可通過利用Orion Platform中的一個漏洞部署惡意軟件。但是該漏洞的詳細信息仍未完全披露。

上周，Microsoft披露了第二個威脅行為者，該威脅行為者可能已經(jīng)濫用SolarWinds Orion軟件在目標系統(tǒng)上投遞另一個惡意軟件SuperNova。

這同樣得到了Palo Alto Networks Unit 42威脅情報團隊和GuidePoint Security公司的證實。這兩家安全公司都將它描述為一個.NET web shell，通過修改SolarWinds Orion應(yīng)用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模塊而實現(xiàn)。

雖然該DLL的合法用途，是將用戶配置的logo圖像通過一個HTTP API返回給Orion web應(yīng)用程序的其他組件，但是該惡意軟件允許它接收來自受攻擊者控制的服務(wù)器的遠程命令，并在該服務(wù)器用戶的上下文中在內(nèi)存執(zhí)行命令。

Unit 42團隊的研究人員指出，SuperNova新穎而強大，因為其在內(nèi)存中執(zhí)行，以及其參數(shù)和執(zhí)行的復(fù)雜性，和通過.NET runtime實現(xiàn)完整編程API的靈活性。

SuperNova web shell據(jù)說是由一個不明身份的第三方行為者投遞的，不同于SunBurst行為者（UNC2452），因為不像SunBurst DLL，前述DLL未經(jīng)數(shù)字簽名。

政府機構(gòu)和網(wǎng)絡(luò)安全專家正在努力了解該攻擊的全部后果，并將可能席卷1.8萬名SolarWinds客戶的全球入侵行動拼湊起來。

發(fā)現(xiàn)SunBrust植入軟件的第一個公司FireEye，在一篇分析文章中表示，一旦實現(xiàn)了合法的遠程訪問，該間諜行動的幕后行為者通常會移除他們的工具，包括后門。這意味著高度的技術(shù)成熟度和對行動安全的關(guān)注。

ReversingLabs和Microsoft發(fā)現(xiàn)的證據(jù)顯示，早在2019年10月，用于攻擊SolarWinds的關(guān)鍵構(gòu)建代碼塊就已經(jīng)就位，當時攻擊者添加了一個帶有無害修改的常規(guī)軟件更新，以與原始代碼融合，隨后進行了惡意修改，使其能夠?qū)olarWinds客戶發(fā)動進一步的攻擊和竊取數(shù)據(jù)。

當前廠商提供的SolarWinds Orion Platform相關(guān)版本的更新包括：

2019.4 HF 6（2020年12月14日發(fā)布）

2020.2.1 HF 2（2020年12月15日發(fā)布）

2019.2 SUPERNOVA Patch（2020年12月23日發(fā)布）

2018.4 SUPERNOVA Patch（2020年12月23日發(fā)布）

2018.2 SUPERNOVA Patch（2020年12月23日發(fā)布）

升級到2020.2.1 HF 2版本或2019.4 HF 6版本的客戶已經(jīng)修復(fù)了SunBurst和SuperNova漏洞，無需采取進一步措施。

關(guān)于“黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。

標題名稱：黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析
文章轉(zhuǎn)載：http://muchs.cn/article20/jsdoco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站收錄、服務(wù)器托管、定制開發(fā)、做網(wǎng)站、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)