在2020年12月爆发的SolarWinds供应链攻击事件,目前为止已被发现了4个恶意程序,而到了最近,研究人员又有重大的发现。在3月4日,FireEye与微软不约而同披露他们新找到的恶意软件,这些恶意软件的公用点,就是它们多半是采用Go语言开发而成,并疑似被黑客组织运用于第2阶段攻击行动。
在此之前被公布的4个恶意程序,分别是最早被发现的后门程序Sunburst,以及SolarWinds委由CrowdStrike调查所找出、攻击过程最早入侵的Sunpot,再者,还有被视为第2阶段攻击工具、定制化恶意加载程序的Teardrop与Raindrop。而这次FireEye与微软发现的恶意软件,都与攻击流程的第2阶段有关,且具备藏匿网络通信流量的能力,而没有在第一时间被发现。
其中,由FireEye公布的新恶意软件名为Sunshuttle,该公司指出,他们起初看到这个恶意软件的来源,是一个美国组织于2020年8月,将这个Sunshuttle上传到公开的恶意软件数据库。经过他们的分析,Sunshuttle是由Go语言编写的后门程序,很有可能被黑客应用于第2阶段攻击行动,并作为Sunburst有关工具之间的网络通信之用。FireEye指出,他们也在遭到供应链攻击的受害组织中看到Sunshuttle,并发现这个恶意软件疑似与攻击者UNC2542有所关联的迹象。
对于Sunshuttle后门程序的特性,FireEye进一步指出,黑客展现“优雅的”回避侦测技巧──他们运用了融入网络流量的做法,来隐藏与C&C中继站之间的通信。不过,黑客究竟如何植入Sunshuttle?该公司表示仍有待厘清。
而对于黑客于攻击第2阶段所运用的恶意程序,微软也在同日发布研究结果──他们这次一口气公布了3个恶意软件酬载,并命名为GoldMax、Sibot,以及GoldFinder。该公司指出,这些恶意程序疑似是此起事件的黑客组织(该公司现称为Nobelium)于2020年8月至9月之间,在供应链攻击行动的后期使用。而他们认为,攻击者早在同年6月就将这些恶意程序植入到受害组织。
这些恶意软件的用途为何?微软认为,这是黑客为了持续在受害组织上运行的工具,特别针对指定网络环境量身打造,甚至在攻击事件回应的阶段,仍成功回避了初步侦测。进一步来说,这3个恶意软件各司其职,GoldMax是与C&C中继站通信的后门程序,为了隐藏恶意行为,这个恶意软件具备产生诱饵网络流量的功能(Decoy Network Traffic Generation),将恶意网络流量埋藏到正常的网络流量。
而Sibot则是黑客用在持续在受害环境运行的工具,并且可接收第2阶段攻击程序代码的指令,下载额外的恶意软件酬载。至于GoldFinder,微软推测很有可能是自制的HTTP关注工具,用来侦测受害设备与C&C中继站之间的网络安全设备。
在SolarWinds供应链攻击的第2阶段中,被微软发现的3个恶意程序之一Sibot,它主要的功能是接收指令下载文件,微软指出该软件有3种变种,差别是连接到C&C中继站的途径,分别是通过注册表接收程序代码指令的变种A、从恶意调度接收程序代码的变种B,以及搭配独立程序代码直接连接到中继站的变种C。
从恶意软件的特质与被滥用的时间点来看,FireEye与微软披露的恶意软件似乎有所雷同,但是否就是相同的恶意软件?两家公司并未直接证实。FireEye宣称微软也对于相同的攻击行动披露细节,微软则是表示会持续与FireEye合作,来保护他们共同的用户。但从Sunshuttle与GoldMax都会隐藏恶意流量,且具备相同的C&C中继站位置,以及执行时会比对特定的MAC地址(c8:27:cc:c2:37:5a)等特性,它们很有可能隶属于相同的恶意软件家族。
