SolarWinds供应链攻击曝出第二个后门

在紧锣密鼓，日以继夜分析SolarWinds Orion供应链攻击时，安全研究人员发现了另一个后门，而这个后门很可能来自另外一个高级威胁组织（APT），换而言之，SolarWinds可能被至少两个APT组织渗透，而且两个组织很有可能并非合作关系。

最初发现的Orion后门被FireEye命名为SUNBURST（日爆），这个最新发现的恶意软件名为SUPERNOVA（超新星），从字面上看起来比“日爆”威力还大。SUPERNOVA是一个植入Orion网络和应用程序监视平台代码中的Webshell，使攻击者能够在运行木马版Orion的计算机上运行任意代码。

根据派拓网络（Palo Alto Networks）的调查，该Webshell是SolarWinds Orion软件中存在的合法.NET库（app_web_logoimagehandler.ashx.b6031896.dll）的木马变体，攻击者对其进行了修改，使其可以逃避自动防御机制。

Orion软件使用DLL公开HTTP API，从而允许主机在查询特定GIF图像时响应其他子系统。派拓网络高级安全研究员Matt Tennis指出：SUPERNOVA背后的黑客手法极为巧妙，在合法DLL文件中植入的代码质量非常高，以至于即使是人工审核分析代码也很难发现。分析表明，攻击者在合法的SolarWinds文件中添加了四个新参数，以接收来自命令和控制（C2）服务器的指令。

恶意代码仅包含一种方法——DynamicRun，该方法可将参数动态编译到内存中的.NET程序集中，因此不会在受感染设备的磁盘上留下任何痕迹。这样，攻击者可以将任意代码发送到受感染的设备，并在用户的上下文中运行该代码，目标用户通常在网络上具有较高的特权和可见性。目前，SUPERNOVA恶意软件样本已被上传到VirusTotal，可被69个防病毒引擎中的55个检测到。

资料来源：Palo Alto Networks

微软在事件调查安全咨文中指出：“事情出现了有趣的转折，业界调查SolarWinds Orion（SUNBURST，微软称之为Solarigate）后门时却发现了另一个后门（恶意软件），而且该恶意软件也入侵了SolarWinds Orion产品，但很可能与本次SolarWinds供应链攻击（及其背后的攻击者）无关，是另外一个攻击者的工具。”

微软的判断依据是，SUPERNOVA没有数字签名，这与最初发现的SunBurst/Solarigate木马化了的SolarWinds.Orion.Core.BusinessLayer.Dll库不同。目前，上述网络安全公司尚未给出两种恶意软件的归因定论，但认定都是出自APT组织之手。

文章部分素材源自：安全牛