新证据表明SolarWinds的代码库被黑客注入后门程序

关于攻击者如何设法破坏SolarWinds的内部网络并毒害公司的软件更新的调查仍在进行中，但我们可能还需要进一步了解似乎是精心策划和高度复杂的供应链攻击。

ReversingLabs今天发布并提前与The Hacker News分享的一份新报告显示，间谍活动背后的运营商可能最早在2019年10月就设法破坏了SolarWinds Orion平台的软件构建和代码签名基础架构，以通过它的软件发布过程。

ReversingLabs的Tomislav Pericin说：“受影响的库的源代码已被直接修改为包括恶意后门代码，这些后门代码是通过现有的软件补丁程序发行管理系统进行编译，签名和交付的。”

网络安全公司FireEye于本周早些时候详细介绍了如何在2020年3月至2020年6月之间发布的多个SolarWinds Orion软件更新中注入后门代码（“ SolarWinds.Orion.Core.BusinessLayer.dll”或SUNBURST）以进行监视并在目标上执行任意命令系统。

迄今为止，FireEye尚未公开将此次攻击归因于任何特定的民族国家演员，但多家 媒体报道将入侵活动锁定在与俄罗斯外国情报服务有关的黑客组织APT29（又名Cozy Bear）上。

偷偷注入恶意代码

尽管包含受污染的Orion软件的第一个版本可追溯到2019.4.5200.9083，但ReversingLabs发现，较早的版本2019.4.5200.8890（于2019年10月发布）也包括看似无害的修改，它们充当了向下传递真实攻击有效载荷的垫脚石。

在添加后门代码之前，请先清空.NET类。2019.4.5200.8890]

根据Pericin的说法，该想法是破坏构建系统，在软件的源代码中悄悄地注入他们自己的代码，等待公司进行编译，对软件包进行签名，最后验证新版本中是否显示了对它们的修改。按预期更新。

一旦确认，攻击者便采取步骤，通过模仿现有功能（GetOrCreateUserID），但将它们的实现混为一谈，以将SUNBURST恶意软件与其余代码库混合，以保持隐身性，并通过修改一个单独的类“ InventoryManager”来调用它们以创建运行后门的新线程。

此外，使用压缩和Base64编码的组合来掩盖恶意字符串，希望这样做可以防止YARA规则发现代码中的异常以及在软件开发人员审查期间未发现的错误。

Pericin说：“攻击者在确保他们的代码看起来像属于代码库中时遇到了很多麻烦。” “这样做确实是为了隐藏代码，以免软件开发人员进行审计。”

妥协如何发生？

这意味着攻击者不仅对软件高度熟悉，而且还破坏了其现有软件版本管理系统本身，因为在源代码级别对相关类进行了修改以构建新软件。包含后门库的更新，然后签名，并最终发布给客户。

这也引起了更多的问题，而不是答案，因为只有版本控制系统被破坏或特洛伊木马软件直接放置在构建机器上时，才可能进行如此大的更改。

尽管目前尚不清楚攻击者如何访问代码库，但鉴于时间重叠，安全研究人员Vinoth Kumar披露了可以使用密码“ solarwinds123”访问SolarWinds更新服务器的信息具有新的意义。

Kumar在12月14日的一条推文中说，他通知该公司一个可公开访问的GitHub存储库，该存储库以明文形式泄露了该公司下载网站的FTP凭据，并添加了一个黑客可以使用该凭据上传恶意可执行文件并将其添加到SolarWinds更新。

Kumar说：“自2018年6月17日起，该Github回购向公众开放，”在2019年11月22日解决配置错误之前，库马尔说。

“ SUNBURST说明了在访问，复杂性和耐心上蓬勃发展的下一代折衷方案，” Pericin总结道。“对于经营有价值的业务或生产对客户至关重要的软件的公司，检查软件和监视更新是否存在篡改，恶意或不必要的添加迹象，必须是风险管理流程的一部分。”

他补充说：“隐藏在全球知名软件品牌或受信任的关键业务流程背后的视线使网络钓鱼活动只能梦想实现这种方法访问。”

SUNBURST破坏了4,000多个子域

SolarWinds表示，多达18,000个客户可能已受到供应链攻击的影响，同时敦促Orion平台用户尽快将软件更新至2020.2.1 HF 2版本，以保护其环境。

据安全研究员R. Bansal（@ 0xrb）称，属于著名企业和教育机构的4,000多个子域感染了SUNBURST后门，包括英特尔，NVIDIA，肯特州立大学和爱荷华州立大学。

更糟糕的是，由于SolarWinds自己的支持建议，目标系统上的防病毒软件和其他安全工具可能未注意到添加到Orion软件更新中的恶意代码，该声明指出，除非免除其文件目录的影响，否则其产品可能无法正常工作。防病毒扫描和组策略对象（GPO）限制。

“因为他们看到了通过出售获得勒索的合作伙伴和其他买家做出更大的利润的机会增加多产的演员都是经过不断的高收入客户会像SolarWinds的，”网络安全公司英特尔471说，应对这种可能性，即罪犯被出售给访问公司在地下论坛上的网络。

“无论是通过利用漏洞，发起垃圾邮件活动还是利用凭证滥用，通常都会通过广告宣传并将其拍卖给出价最高的竞标者以获取利润。这是否是当前SolarWinds事件的动机，尚待观察。”