网络黑客信息平台网:从技术性视角深层次分析SolarWinds侵入事情

全文详细地址: 最近,很多机构都遭受了SolarWinds侵入事情的危害。就各种各样征兆看来,这好像是一起对于政府部门和私人机构的有目的性的进攻。到迄今为止,此次进攻的危害范畴依然并不是十分...

全文详细地址:

最近,很多机构都遭受了SolarWinds侵入事情的危害。就各种各样征兆看来,这好像是一起对于阅批部门和私人机构的有目的性的进攻。到迄今为止,此次进攻的危害范畴依然并不是十分清晰,可是已经知道的是,网络黑客根据故意的SolarWinds Orion升级得到了对受害人系统软件的访问限制,而且,有千余客户安装了这种升级。

因为网络攻击可以浏览SolarWinds手机软件的开发设计和交货安全通道,进而使她们可以将恶意代码加上到名叫SolarWinds.Orion.BusinessLayer.dll的SolarWinds Orion服务平台驱动软件中。针对这类供应链管理进攻而言,因为受感柒的dll具备相对的电子签名,促使恶意软件长期未被发现,进而对客户导致了极大的危害。

在此次侵入事情中,被感染的二进制文件是.Net程序流程集,在其中包括Orion架构的很多合理合法名字室内空间、类和方式 。那样的话,网络攻击就能将自身的编码与合理合法编码结合在一起。另外,恶意代码做为OrionImprovementBusinessLayer类的一部分掩藏在其中,而此类能够根据建立进程来实行,以防止终断dll的基本流称。事实上,建立进程的编码是RefreshInternal方式 中的一部分,后面一种是dll中一个被感染的方式 。

为了更好地保存文档中的硬编码值,如过程、服务等列表,恶意软件应用了FNV-1ahash算法的组合,将测算出的字符串哈希值与硬编码值开展XOR解决。

除开以哈希值方式保存硬编码值外,该恶意软件还应用了DEFLATE压缩算法来保存WMI查看、注册表项和动态口令等字符串数组。

在恶意代码逐渐实行时,会开展各种各样查验,以保证编码是在适合的环境中运行:

过程名字为solarwinds.busslayerhost.exe。

dll最少提早12到14天(288到336钟头)载入硬盘。

根据下列查验来查验系统软件的网站域名是不是合理:

不可包括其哈希值储存在文档中的这些字符串数组。

不可与标准关系式(?i)([^a-z]|^)(test)([^a-z]|$)或(?i)(solarwinds)相符合。

除此之外,它还会继续依据文档中以哈希值方式储存的过程、服务和驱动软件列表,对已经运作的过程、驱动软件和服务开展相对的查验。这看上去与查验系统软件上是不是存有防护软件相关。

假如在系统软件上寻找一切发生在查验列表中的服务,恶意软件便会根据控制HKLM\\SYSTEM\\CurrentControlSet\\Services下的服务注册表文件来禁止使用该服务。因此,它最先会寻找一个新的使用者,方式 是枚举类型根据查看“Select * From Win32_UserAccount”得到的客户列表。它会检查用户帐户是不是当地帐户,而且SID是不是以S-1-5开始、以-500末尾,以保证它是当地管理人员帐户。

寻找相对的帐户后,恶意软件根据为其本身授于SeRestorePrivilege和SeTakeOwnershipPrivilege权利,使发觉的帐户变成待改动的注册表文件的使用者。

为了更好地获得已安裝的驱动软件,它会应用Select * from Win32_SystemDriver WMI开展查看。

该恶意软件的关键作用便是一个HTTP侧门,它与C&C服务器开展通讯,并得到必须实行的指令。为了更好地获得C&C服务器的详细资料,它会分析一个与众不同的FQDN,构造以下所显示:

{subdomain}.domain3.domain2.domain1

domain3=[eu-west-1, us-west-2, us-east-1, us-east-2]

domain2=appsync-api

domain1=avsvmcloud.com

该恶意软件完成了自身的网站域名转化成优化算法,便于每一次都能转化成一个唯一的二级域名。该DGA优化算法应用为系统生成的8字节客户ID和系统软件的网站域名来转化成二级域名。

做为DGA优化算法的键入之一,系统软件的客户ID是根据从系统软件搜集到的下列数据信息转化成的:

网线端口的物理地址

系统软件的网站域名

来源于HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography的MachineGuid注册表值

它会将之上三个值相互连接,并测算联接后的字符串数组的MD5,随后开展自定的XOR计算,进而转化成相对的客户ID。

做为DGA优化算法的一部分,它用换置表“rq4gsalt6u1iyfzop572d49bnx8cvmkewhj”和随机数字系统对的网站域名开展编号。

在对网站域名开展编号后,恶意软件便会应用客户ID、随机数字和换置表“ph2eifo3n5utg1j8d94qrvbmk0sal76c”转化成一个字符串数组。

随后,它将编号后的客户id与编号后的网站域名相互连接,进而获得一个二级域名。这促使每一个恶意软件案例的二级域名和FQDN网站域名全是不尽相同的。

该恶意软件会查验转化成的FQDN网站域名是不是已被分析,以获得IPAddress构造中的详细资料。除此之外,它还会继续查验分析的IP地址是不是与查看的IP地址同样,随后依据IP列表和编码中硬编码的掩码查验分析的IP的详细地址族。假如不一致得话,则将分析的IP地址作为侧门的C2IP地址。

做为C2通讯的一部分,网络攻击尝试根据应用JSON文件格式的HTTP通讯来效仿SolarWinds通讯方式 。下列是用以建立JSON文件格式的编码:

JSON文件格式:

{

"userId": ,

"sessionID": ,

"steps":

{

{

"Timestamp": "",

"Index":,

"EventType": "Orion",

"EventName": "EventManager",

"DurationMs":,

"Succeeded":true,

"Message": ""

}

}

}

HTTP侧门会将json数据信息发送至C2服务器,假如通讯取得成功,服务器便会回到历经编号解决的指令;收到指令后,该侧门将应用关系式0-9a-f360-9a-f320-9a-f16分析该指令。

下边是在编码中硬编码的已编解码指令列表。

从指令列表能够看得出,这款恶意软件可以搜集系统信息,应用注册表文件,删掉硬盘上的另一个文档,并运作它。

大家调查了好多个受适用指令。在其中,CollectSystemDescription指令用以搜集网站域名、登录名、OS版本号和网络配置关键点等信息内容。

做为获得网络配置详细资料的一部分,恶意软件应用select * From Win32_NetworkAdapterConfiguration where IPEnabled=true实行WMI查看,并分析下列字段名:

Description

MACAddress

DHCPEnabled

DHCPServer

DNSHostName

DNSDomainSuffixSearchOrder

DNSServerSearchOrder

IPAddress

IPSubnet

DefaultIPGateway

为了更好地获得电脑操作系统详细资料,它会实行以下WMI Query,即Select * From Win32_OperatingSystem。

从编码中我们可以见到,它能够删掉第二阶段的恶意软件,并实行它。

最终,我们可以得到以下结果:网络攻击在此次侵入中应用的技术性比较复杂,在其中包含供应链管理进攻、编码数据及其动态性分析,这些。另外,网络攻击的重心点并并不是对受感柒的系统软件开展重挫,只是致力于不被网络安全产品发觉足迹。在将来的日子里,相近进攻将更加普遍。

  • 发表于 2021-04-17 14:21
  • 阅读 ( 220 )
  • 分类:互联网

0 条评论

请先 登录 后评论
李易工作室
李易工作室

664 篇文章

你可能感兴趣的文章

相关问题