天际友盟：SolarWinds供应链攻击事件总结报告（14页）.pdf

1、5.4.SUNSPOT 植入程序CrowdStrike 研究人员发现 SolarWinds 攻击者是通过一个被命名为 SUNSPOT 的工具来将 SUNBURST 插入到SolarWinds 更新包中。其监控涉及 Orion 产品编译的运行进程 MsBuild.exe，并替换了一个源文件，以使编译出来的产品中包含 SUNBURST 后门。SUNSPOT 被开发人员内部命名为 taskhostw.exe，根据二进制文件中的构建时间戳，它可能构建于 2020-02-20 11:40:02，基本吻合此次供应链事件的时间表。攻击者通过创建主机启动时执行的计划任务集来维持 SUNSPOT的持久性。同时还

2、会创建文件(C:WindowsTempvmware-vmdmp.log)来记录错误以及部署信息。通过修改安全令牌(添加 SeDebugPrivilege)来授予自身调试权限。除此之外，SUNSPOT 通过一些保护机制(如检查互斥体)， 避免由于代码替换引起的编译错误引发开发人员察觉。5.5.GoldMax、GoldFinder、Sibot 组件2021 年 3 月 4 日，Microsoft 发布相关报告，跟踪披露了该活动后期阶段(横向移动后)使用的系列组件(GoldMax、Sibot、GoldFinder)，这些恶意软件最早可能在 2020 年 6 月就已在受感染的系统上使用。GoldMax

3、(被 FireEye 称为“SUNSHUTTLE”)恶意软件采用 Go 语言编写，主要作为与 C2 进行通信的后门，通过模拟系统管理软件上的计划任务，以保持持久性。GoldMax 使用了几种不同的技术来混淆恶意活动并逃避检测。该恶意软件将加密的配置文件写入磁盘，配置文件名基于环境变量和其相关的运行网络信息生成。其通过与 C2 建立会话密钥通信以进行安全通信，C2 可以通过伪随机生成的 cookie 发送命令。GoldMax 配备了混淆恶意流量的功能，该功能启用后，恶意软件会发起伪随机数量的对合法域和 C2 域的 HTTP GET 请求。Sibot 是一个由 VBScript 编写的恶意组件，功

4、能包括持久性维护和下载执行有效负载。其模拟合法的 Windows任务名称，存储在注册表或加密存储在磁盘上，通过预定的任务执行。脚本可以通过参数设置来进行自定义，包括：运行有效负载的命令行、有效负载的安装目录、下载有效负载的 C2 服务器地址、用于下载的 HTTP 请求类型等。GoldFinder 是一个采用 Go 语言编写的恶意组件，可以作为自定义 HTTP 跟踪器，其记录数据包到达硬编码的C2 服务器的路由或跳数。GoldFinder 会发出对硬编码 IP 地址的 HTTP 的请求，并将响应记录到 .txt 文件中，记录的信息包括：目标(C2 URL)、StatusCode(HTTP 响应

5、/ 状态码)、标头(HTTP 响应标头及其值)、数据(来自 C2 的 HTTP 响应数据)。该组件根据响应状态码和 HTTP Location 字段来判断下一步操作和进行日志文件记录，从而识别 HTTP 代理服务器和重定向器。此次 SolarWinds 供应链攻击活动，攻击者通过在软件下载的源头植入恶意代码，并利用多个恶意软件分发定制Cobalt Strike，导致使用此软件的企业相继中招，并且其后续攻击也逐步显现。目前针对这次攻击的幕后黑客组织及其意图也有诸多猜测：(1)2021 年 1 月 12 日，有团伙在网站(hxxp:/ (25b23446e6c29a8a1a0 aac37fc3b6

6、5543fae4a7a385ac88dc3a5a3b1f42e6a9e) 并声称该字符串与其获取这批数据的方式有关。该字符串符合 SHA256 特征，但是通过搜索，目前并未找到与之相关的公开文件。大胆推测，如果该网站的确是此次供应链事件的幕后者所有，那此 SHA256 对应文件很可能存在于受害者的环境中，而不会被公开。换个角度来看，该泄露网站的出现似乎透露出幕后组织主要是为了获取更多经济利益为目的而发起的攻击。但是该网站如此“简单粗暴”的 “要钱”和攻击者开发后门时的严谨完全