锁定网管系统SolarWinds Orion的供应链攻击事件,引起轩然大波,但在事发3天后(12月15日到18日),我们看到陆续有多家安全企业,包含GuidePoint、微软、Palo Alto Networks,以及赛门铁克,他们表示攻击的来源可能不只一个,因为,他们发现了另一个名为Supernova的后门程序。由于Supernova的手法,与先前FireEye于13日披露的SunBurst(或称为Solarigate)后门程序行径,可说是大不相同,因此他们研判,是另一个黑客组织发起的攻击行动。
有多家安全企业指出本次供应链攻击的事故,有第2组黑客出手的情况,我们看到新闻网站ZDNet与Bleeping Computer,在21日率先报道此事。其中,Palo Alto的研究人员,针对Supernova披露较为详细的分析结果,并指出另一家安全企业GuidePoint披露的信息,与他们的大致相同。
他们认为,该后门程序是针对SolarWinds Orion而来,这是伪冒成合法.NET程序库(App_web_logoimagehandler.ashx.b6031896.dll)的木马程序,而原本这只程序库的用途,是提供HTTP API,让Orion主机收到指定的GIF图片文件时,回应其他的子系统。Palo Alto指出,黑客植入此DLL文件的程序代码看似无直接危害,导致安全系统可能会轻易放行,甚至是用人工鉴识来调查,也可能会忽略。
为何会看起来没有问题?Palo Alto表示,因为Supernova的网页壳层是在内存内(In-Memory)运行,其酬载(Payload)则是动态产生及执行,黑客这么做的结果,就是在受害计算机里的磁盘完全没有留下执行文件的痕迹,使得数字鉴识与事件回应的分析变得更加困难。
而这个Supernova后门程序也不是直接执行。事实上,研究人员指出,黑客是借由有效的.NET应用程序,以参数的方式来挟带执行Supernova,利用这个后门程序在受害组织的SolarWinds Orion系统里,来下载、编译,以及执行恶意的PowerShell脚本。
Palo Alto指出,相较于SunBurst,利用Supernova发动攻击行动的面貌尚不甚明朗,但他们认为并非是制作SunBurst的黑客出手,主要原因是Supernova不像SunBurst冒用合法签章,再加上这2个后门程序的攻击手法差异极大。而微软的安全研究员Nick Carr,17日于推特上首度提出这样的看法,而微软后来也在博客上,提出类似的观点。
This is excellent analysis of a webshell!
However, SUPERNOVA & COSMICGALE are unrelated to this intrusion campaign.
You should definitely investigate them separately bc they are interesting–but don’t let it distract from the SUNBURST intrusions.
Details:https://t.co/6FA6VlABV3
—Nick Carr (@ItsReallyNick)December 17, 2020