SolarWinds Inc.是一家美国软件开发公司,拥有庞大的客户群体,囊括几乎所有美国500强企业和美国国务院、商务部、财政部等重要政府机构。Orion是SolarWinds旗下的平台型软件,主要用于帮助企业管理网络、系统和信息技术基础设施,是一个强大的、可扩展的基础架构监视和管理平台。 2020年12月,知名网络安全公司Fireeye发布报告称...
Orion是SolarWinds旗下的平台型软件,主要用于帮助企业管理网络、系统和信息技术基础设施,是一个强大的、可扩展的基础架构监视和管理平台。 2020年12月,知名网络安全公司Fireeye发布报告称Orion平台遭到黑客组织入侵,并详细分析了该次攻击的技术方法和波及范围。随后,赛门铁克等安全公司跟进报告,分析了其各个攻击阶段的技术特...
攻击者入侵了IT公司SolarWinds,利用其软件渠道向该公司的18000个Orion平台客户发布恶意更新。这种情况被称为供应链攻击,因为它依赖于已经被信任并且可以立即广泛发布的软件,因此基本上是最隐蔽和最难检测的。 美国国土安全部发布了一项紧急指令,要求所有联邦机构立即采取措施,将受影响的SolarWinds Orion产品下线,并在周一...
https://blog.truesec.com/2020/12/17/the-solarwinds-orion-sunburst-supply-chain-attack/
由于SolarWinds恶意软件的DGA域名生成算法已被破解,有安全研究人员已经公布了较为完整的潜在受害者列表,安全牛查询后发现还有包括联发科在内的大量企业“上榜”,截图如下: 参考资料 获取完整列表请访问: https://blog.truesec.com/2020/12/17/the-solarwinds-orion-sunburst-supply-chain-attack/...
由于SolarWinds恶意软件的DGA域名生成算法已被破解,有安全研究人员已经公布了较为完整的潜在受害者列表,安全牛查询后发现还有包括联发科在内的大量企业“上榜”,截图如下: 参考资料 获取完整列表请访问: https://blog.truesec.com/2020/12/17/the-solarwinds-orion-sunburst-supply-chain-attack/...
近日,CrowdStrike和另一个公司,在调查SolarWinds供应链攻击时, 又有了新发现。他们发现了另一个恶意软件,并命名为SUNSPOT 。该恶意软件的功能就是修改SolarWinds的Orion产品的构建过程,将正常的代码替换成SUNBURST后门的代码,从而感染了Orion产品,形成了最终的供应链攻击。
攻击者入侵了IT公司SolarWinds,利用其软件渠道向该公司的18000个Orion平台客户发布恶意更新。这种情况被称为供应链攻击,因为它依赖于已经被信任并且可以立即广泛发布的软件,因此基本上是最隐蔽和最难检测的。 美国国土安全部发布了一项紧急指令,要求所有联邦机构立即采取措施,将受影响的SolarWinds Orion产品下线,并在周一...
SolarWinds jumped to action as soon as they figured out the nature of the attack and how to mitigate it. Because Orion was the gateway for the attack, SolarWinds released patches to eliminate the possibility of Orion being used to spread malware. When SolarWinds took this step, it helped ...
SUNSPOT通过NtQueryInformationProcess方法去查询MsBuild.exe进程的PEB,通过_RTL_USER_PROCESS_PARAMETERS结构体来获取其参数,通过解析出来的参数确定是否是Orion产品的构建过程。如果是的话么就进行下一步的源代码替换。 SUNSPOT在MsBuild.exe进程中找到Orion产品解决方案的工程文件路径,仅把其中InventoryManager.cs文件内容替...