由一个名黑客引起的全球性攻击行动
发布时间:2022-09-02 10:01:36 所属栏目:安全 来源:互联网
导读:Solarwinds Orion是一款功能强大的网络性能监控程序,这就是目前为什么全球有超过45000用户,不论是小公司还是全球500强企业,都信任和使用Solarwinds来探索、配置、监控和管理日趋复杂的系统和构建网络基础构架的流程。 FireEye最近发现了一个名叫UNC2452
|
Solarwinds Orion是一款功能强大的网络性能监控程序,这就是目前为什么全球有超过45000用户,不论是小公司还是全球500强企业,都信任和使用Solarwinds来探索、配置、监控和管理日趋复杂的系统和构建网络基础构架的流程。 FireEye最近发现了一个名叫UNC2452 的攻击者利用Solarwinds的监控框架来发起全球性攻击,这项攻击可能早在2020年年初就开始了。 被木马化的更新文件是一个标准的Windows安装程序修复文件,包括与更新相关的压缩资源,包括被木马化 的SolarWinds.Orion.Core.BusinessLayer.dll组件。一旦更新被安装,恶意的DLL将被合法的solarwind可执行文件SolarWind.BusinessLayerHost.exe或SolarWindws.BusinessLayerHostx64.exe(取决于系统配置)加载。 攻击影响 FireEye已经在全球多个企业中检测到这种活动,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信等企业。 通过跟踪分析,此攻击活动是一个名为UNC2452的攻击组织发起的。在获得最初的访问权限后,攻击便会使用各种技术逃避检测。 攻击过程 (1) 使用了TEARDROP和BEACON恶意软件 在分析的样本中,攻击者使用了TEARDROP和BEACON恶意软件,TEARDROP是一个内存删除器,它作为一个服务运行,生成一个线程并从文件“gracious_truth.jpg”中读取,该文件可能有一个伪装的JPG标头文件。接下来,它检查HKUSOFTWAREMicrosoftCTF是否存在,使用自定义滚动XOR算法解码嵌入式有效载荷,并使用类似于PE的自定义文件格式将嵌入式有效载荷手动加载到内存中。 TEARDROP的代码与之前看到的任何恶意程序都没有重叠。 (2)攻击者的主机名与受害者的环境匹配 攻击者在其命令和控制基础设施上设置主机名,以匹配在受害者环境中找到的合法主机名。这使得攻击者能够逃避检查。 攻击者基础结构会在RDP SSL证书中泄漏其已配置的主机名,这可以在网上扫描数据中识别出来。这为防御者提供了一个检测机会,查询整个网上的扫描数据源中组织的主机名可以发现可能伪装成组织的恶意IP地址。 将网上扫描数据中标识的IP列表与远程访问日志进行交叉引用可能会在环境中识别出攻击。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号