Solarwinds Orion Security Breach正在以快速的步伐展开,供应商和受害者的数量继续增长。每天都会带来新的启示,即它的覆盖范围和深度。特别关注的是对政府系统的感染率和影响。
如果您错过了它,则在Solarwinds Orion IT监控和管理软件中找到了一个后门。一个名为solarwinds.orion.core.businesslayer.dll的动态链接库,发现orion软件框架的Solarwinds签名组件,包含一个后台,通过HTTP传送到第三方服务器。
在初始休眠期长达两周后,特洛伊木马检索并执行命令,称为作业,包括传输文件,执行文件,配置文件,重新引导和禁用系统服务的能力。简而言之,总收购机器。
恶意软件隐藏其在ORION改进程序(OIP)协议中的网络流量,并在合法的插件配置文件中存储其IDS的数据,允许它与合法的Solarwinds活动融合。
Solarwinds表示,它的30万名300,000名客户下载了木马,但这仍然是18,000太多。据报道,受害者包括世界各地的咨询,技术,电信和石油和天然气公司以及美国政府机构,如国防,库房和商务部。
最新受害者是思科系统,在内部系统上发现了猎户座木马。“在Solarwinds攻击公告之后,思科安全立即开始了我们已建立的事件 - 反应流程,”该公司在一份声明中表示。
“我们已经从少数实验室环境和员工端点中孤立和删除了ORION装置。此时,对思科产品,服务或任何客户数据没有已知的影响。”
Fireeye和Microsoft是第一个识别缺陷之中的,而且由于Solarwinds的广泛使用,更多的安全专家正在挖掘它。
有一件事是为了确定,最后的鞋还没有掉落。这是过去几天出现的循环。
杀戮地区发现了
Fireeye首先在12月13日录制了木马详细的写作在恶意软件上,说orion软件可能会在2020年3月开始遭到损害.Fireeye告诉安全网站的安全网站,它发现它发现了一个已被微软抓住的域,并重新配置以充当恶意软件以防止恶意软件在某些情况下继续运作。
“森伯斯特是通过Solarwinds软件分发的恶意软件。作为Fireeye对森伯斯特分析的一部分,我们确定了一个杀戮行政区,将阻止森伯斯特继续运营,”该公司在发给我的声明中表示。
根据恶意软件返回的IP地址,当恶意软件解析为AVSVMCLoud [。] COM,恶意软件将终止并防止进一步执行。Fireeye与Godaddy和Microsoft合作,无法停用森伯斯特感染。
“这款杀戮地区将通过禁用仍然致信到AVSVMCLOUD [。] COM的森伯斯特部署来影响新的和以前的森伯斯特感染。然而,在侵入Fireeye的情况下,这位演员迅速移动,建立额外的持久机制,以便超越受害者网络森伯斯特后卫。这个杀戮地带不会从受害者网络中删除他们建立其他后门的受害者网络。然而,对于演员来利用先前分布式的森伯斯特版本,这将使这将使它更加困难,“它补充道。
第二组发现
微软宣布第二个黑客集团部署了影响猎户座软件的恶意代码,但是这位研究人员作为超新星知名的恶意软件与原始木马不同,因为它似乎并未涉及供应链的妥协,微软表示。
虽然俄罗斯黑客被怀疑落后于第一个Orion软件特洛伊木马,但微软不确定谁在第二次妥协后面。“[t]对整个Solarwinds的调查妥协导致了发现额外的恶意软件,这些恶意软件也影响了Solarwinds Orion产品,但已被确定与这种妥协和由不同的威胁演员使用的折衷主义,”Microsoft研究团队“星期五在博客岗位上说。
该公司指出,Microsoft Defender防病毒,Windows 10上的默认抗动软件解决方案,检测和阻止恶意DLL及其行为。即使进程正在运行,它也会隔离恶意软件。
他们三年前警告了
据他人据此,在怀疑黑客之前,SolarWinds安全顾问警告安全风险警告安全风险,后来戒掉了这家公司并没有认真对待他。一篇文章由彭博周一出版。IAN Thornton-Trump在2017年回到了三个Solarwinds高管的23页,敦促他们安装一个网络安全高级董事,因为他认为这篇文章说,他认为重大违规是不可避免的。
桑顿特朗普告诉布卢姆伯格他在演讲后一个月辞去了Solarwinds,因为他声称该公司对他建议改善网络安全的改变并不感兴趣。“我的信念是,从安全的角度来看,Solarwinds是一个令人难以置信的朴素的目标,”Thornton-Trump表示。
内幕交易?
华盛顿邮政报道上周,在侵扰揭示前的日子之前,Solarwinds的顶级投资者在股票上售出数百万美元。过去几天,SolarWinds的股价下降了20%以上。该职位在美国证券交易委员会(SEC)上引用了以前执法官员(SEC),称销售可能会提示内部交易调查。
私募股权公司银湖和Thoma Bravo拥有四分之三的优秀Solarwinds股票,售价1300万美元,价值2.86亿美元,仅需一周,在披露供应链脆弱性之前。该股在下午16点以16.12美元关闭。根据该职位,11月,外出的Solarwinds首席执行官Kevin Thompson还销售了超过1500万份股票。
“在12月7日进入单一机构投资者的私募之前,在Solarwinds之前,Thoma Bravo和Silver Lake并不了解这座潜在的网络攻击,”公司在向职位的联合声明中表示。