SolarWinds Orion Angriff auf die Lieferkette: C2, Abhilfemaßnahmen und Expertenanleitungen
Table of Contents
Eine Anleitung zum Thema Solarwinds finden Sie unter DHS , SolarWinds , FireEYE , MSRC , and Microsoft
Fortgeschrittene Benutzer lesen bitte die FireEYE Countermeasures Repo zu diesem Thema.
SANS hat ein gutes Video zu diesem Thema here
Ausführbare Dateien:
Die betreffende DLL ist SolarWinds.Orion.Core.BusinessLayer.dll und wurde als ligitimer Teil der SolarWinds-Suite signiert, wobei die Technologien zur Anwendungskontrolle umgangen werden. Es wird als Dienst installiert.
Der bösartige Code wurde in eine legitime DLL eingeschleust und wird in den Speicher geladen, wenn die Anwendung ausgeführt wird. Der Code wird vor dem legitimen Code ausgeführt. Nach Angaben von Microsoft wird der Code aktiviert, wenn SolarWinds.BusinessLayerHost.exe ausführbare Datei läuft, kann aber auch Folgendes laden:
ConfigurationWizard.exeNetflowDatabaseMaintenance.exeNetFlowService.exeSolarWinds.Administration.exeSolarWinds.BusinessLayerHost.exeSolarWinds.Collector.Service.exeSolarwindsDiagnostics.exe
Netzwerkinformationen:
Allgemeine Bereiche:
- DNS CNAMEs für C2:
.appsync-api.eu-west-1[.]avsvmcloud[.]com.appsync-api.us-west-2[.]avsvmcloud[.]com.appsync-api.us-east-1[.]avsvmcloud[.]com.appsync-api.us-east-2[.]avsvmcloud[.]com
- IP-Bereiche für C2:
20.140.0.0/1596.31.172.0/24131.228.12.0/22144.86.226.0/24
Speziell identifiziert:
- Mit C2 verbundene DNS-Namen:
6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]comgq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]comihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]comk5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]commhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
- IPs assoziiert mit C2:
13.59.205.6654.193.127.6654.215.192.5234.203.203.23139.99.115.2045.252.177.255.252.177.21204.188.205.17651.89.125.18167.114.213.199
DLL Locations
C:\Program Files (x86)\N-able Technologies\Windows Software Probe\bin\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\Solarwinds\Network Topology Mapper\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\Solarwinds\Network Topology Mapper\Service\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\DPI\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\NCM\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\Interfaces.Discovery\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\DPA\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\HardwareHealth\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\Interfaces\SolarWinds.Orion.Core.BusinessLayer.dlC:\Program Files (x86)\SolarWinds\Orion\NetFlowTrafficAnalysis\SolarWinds.Orion.Core.BusinessLayer.dllC:\Program Files (x86)\SolarWinds\Orion\NPM\SolarWinds.Orion.Core.BusinessLayer.dll
Microsoft Malicious DLL Table:
FireEYE Indicator Table:
Sites Known to Be Hit By SunBurst/SolarFlare:
Related Posts
