V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
levelworm
V2EX  ›  程序员

Fireeye 最近发现的那个攻击手段可真是厉害啊!

  •  
  •   levelworm · 2020-12-14 12:30:27 +08:00 · 2294 次点击
    这是一个创建于 1474 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

    反正我什么也看不懂,只能看出来为了躲避探测使出浑身解数了,他们应该还是拿到了 binary 做逆向分析的。就是不知道一开始谁找到这玩意的,可真的不容易。

    6 条回复    2020-12-15 08:48:48 +08:00
    levelworm
        1
    levelworm  
    OP
       2020-12-14 12:51:05 +08:00
    我在网上搜索了一下,这次攻击的时间和范围应该都很广,因为这次 SolarWind 的更新好几个月之前就发布了,而且他们还有很多重磅的客户。。。
    yksoft1test
        2
    yksoft1test  
       2020-12-14 14:05:11 +08:00   ❤️ 2
    这种玩法最大的受害者还是 SolarWind 本身了吧。不知道这个恶意组件实现的这些 Orion 框架上的接口是全部公有的,还是有部分私有的?如果实现了私有的接口,再加上用的是 SolarWind 的合法签名,这玩意要么开发成本不低,要么干脆就是人肉潜入了 SolarWind 干的。

    当然这玩意还是有敏感操作的,会被杀软监控到。
    Blocklisted services are stopped by setting their HKLM\SYSTEM\CurrentControlSet\services\<service_name>\Start registry entries to value 4 for disabled.
    levelworm
        3
    levelworm  
    OP
       2020-12-14 22:06:57 +08:00 via Android
    @yksoft1test 的确是有怀疑是内部人作案。太阳风大客户一大堆,细思恐极啊。。。
    levelworm
        4
    levelworm  
    OP
       2020-12-15 06:59:32 +08:00
    @yksoft1test
    看这里:
    https://twitter.com/KyleHanslovan/status/1338358831722749953
    360 好像是几天前唯一能够探测到这玩意的杀软
    yksoft1test
        5
    yksoft1test  
       2020-12-15 08:46:01 +08:00   ❤️ 1
    @levelworm 按特征码方式,杀软对于这种有合法签名的文件,可能连采样都未必会采到。但是这种试图修改杀软服务项的行为,是很有可能被监控到的。
    yksoft1test
        6
    yksoft1test  
       2020-12-15 08:48:48 +08:00   ❤️ 1
    @levelworm 大客户够多,或者有 APT 组织想对付的敏感大客户的话,派出人肉木马的成本都可以承受吧。
    想要获得合法签名,要么通过哈希撞击把别人的私钥撞出来,要么就是直接拿到了私钥。人肉木马做到后者是相对简单的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   945 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:34 · PVG 05:34 · LAX 13:34 · JFK 16:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.