SolarWinds失陷服务器测绘分析报告

 

0x01背景

美国时间2020年12月13日,SolarWinds公司的orion平台软件被爆出存在供应链后门,使用该公司产品的数百家美国核心组织机构被国家级APT组织入侵。

在此事件披露后不久,Solarwinds供应链后门的C&C开始被微软和域名服务商接管锁定,攻击者似乎已无法通过C&C控制失陷的SolarWinds服务器。但在360威胁情报中心发布的SolarWinds供应链攻击揭秘报告中,明确指出了此次事件相关的核心后门程序外,攻击者还在SolarWinds服务器中植入了另外的WebShell后门程序。

据悉,SolarWinds公司为全球30万家客户提供了产品服务,SolarWinds失陷服务器有可能仍然遍布网络空间,相关组织机构仍然存在极大的安全风险。依靠360安全大脑的全网安全能力,360Quake团队联合360高级威胁研究分析中心对全网的SolarWinds服务器进行了分析调查。

 

0x02Solarwins WebShell后门分析

Solarwinds  orion平台的Web控制台和IIS等Web中间件是无缝绑定的,因此攻击者可以从外网直接访问服务器。

在此次solarwinds供应链攻击事件中,攻击者在后渗透阶段针对特定目标solarwinds服务器的Web控制台植入了Webshell后门组件,该组件的原厂功能是根据网络请求数据给管理平台网页返回显示logo图片,而在后门组件中对原功能增加了一段后门代码。

该处新增的后门代码为原文件新增了codes、clazz、method、args这四个额外的HTTP请求参数。

攻击者通过HTTP请求传入的任意自定义代码,最终会被后门代码动态编译执行。

 

0x03SolarWinds服务器存活情况

根据Quake 的搜索语法:app:”Solarwinds-orion”

我们发现SolarwindsOrion 的一年内资产数据为3146条,独立IP数量为1414个。国家分布和国内各个省份分布如图所示:

利用Quake搜索:app:”Solarwinds-orion”AND response:”2019.4″

发现受影响的 2019.4版本的有485个,

利用Quake搜索:app:”Solarwinds-orion”AND response:”2020.2.1″

发现受影响的2020.2.1版本有218个。

在对Solarwinds orion平台进行探测的同时,我们统计了搭建Solarwinds orion平台的windows server版本。根据探测的结果,可以发现Solarwinds服务器环境占据前五的主要是:

因为iis8.0和iis8.5同属于WindowsServer 2012,所以前四的windows服务器版本环境分别对应的是WindowsServer 2016,WindowsServer 2012,WindowsServer 2008,WindowsServer 2003。

 

0x04Solarwins WebShell抽样排查

结合Webshell的分析特征,我们发现请求Orion/LogoImageHandler.ashx响应文件类型会被强制设置”text/plain”。

我们针对该特征对全球的Solarwinds orion平台进行抽样分析,发现了多台疑似被植入WebShell后门的服务器。部分后门服务器列表如下:

 

0x05总结

本次探测结果可知,全网视野下存在安全隐患的Solarwinds服务器数量仍是以美国地区为最多,而国内也存在少部分隐患资产。

目前,Solarwinds供应链后门的C&C已被安全厂商和域名服务商接管锁定,但攻击者除开使用C&C控制失陷服务器外,很可能再通过其他预置的后门,利用外网失陷Solarwinds服务器再次入侵目标,请相关的组织机构提高警惕。

更多网络空间测绘领域研究内容,敬请期待~

Happy hunting by using 360-Quake.

 

0x06参考文章

  • https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q
(完)