2020年12月13日,F(xiàn)ireEye、微軟和SolarWinds宣布發(fā)現(xiàn)了一場(chǎng)大規(guī)模的復(fù)雜的供應(yīng)鏈攻擊,攻擊者部署了一種新的之前未知的被稱(chēng)為“Sunburst”的惡意軟件來(lái)攻擊SolarWindws的 Orion IT 客戶(hù)。卡巴斯基專(zhuān)家發(fā)現(xiàn),Sunburst與已知版本的Kazuar后門(mén)程序(這種類(lèi)型的惡意軟件能夠提供對(duì)受害者計(jì)算機(jī)的遠(yuǎn)程訪(fǎng)問(wèn))之間存在各種特定的代碼相似性。這些最新發(fā)現(xiàn)為幫助研究人員進(jìn)一步研究攻擊提供了見(jiàn)解。
在研究Sunburst后門(mén)程序時(shí),卡巴斯基專(zhuān)家發(fā)現(xiàn)其某些功能與之前發(fā)現(xiàn)的Kazuar后門(mén)程序有所重合。Kazuar是一種使用.NET架構(gòu)編寫(xiě)的后門(mén)程序,由Palo Alto在2017年首次報(bào)道,并用于全球各地的網(wǎng)絡(luò)間諜攻擊。代碼上的多處相似表明Kazuar和Sunburst之前存在關(guān)聯(lián),盡管其性質(zhì)尚未確定。
Sunburst和Kazuar重疊的功能包括受害者UID生成算法、休眠算法和大量使用FNV-1a散列。根據(jù)專(zhuān)家調(diào)查,這些代碼片段并非100%相同,表明Kazuar和Sunburst可能有所關(guān)聯(lián),盡管這種關(guān)聯(lián)的性質(zhì)目前還不完全清楚。
2020年2月,Sunburst惡意軟件被首次部署后仍在繼續(xù)演化, 2020年后來(lái)的變種甚至在某些方面與Sunburst更加相似。
整體來(lái)看,在Kazuar不斷演化的這幾年中,安全專(zhuān)家發(fā)現(xiàn)一個(gè)不斷發(fā)展的過(guò)程,這個(gè)過(guò)程增加了與Sunburst相似的重要功能。盡管Kazuar和Sunburst之間的相似之處很明顯,但它們的存在可能有很多原因,包括它們都是由同一個(gè)組織開(kāi)發(fā)的,或者Sunburst開(kāi)發(fā)者是以Kazuar為靈感開(kāi)發(fā)的Sunburst,或者Kazuar的一個(gè)開(kāi)發(fā)者轉(zhuǎn)到Sunburst團(tuán)隊(duì),或者Sunburst和Kazuar背后的兩個(gè)組織都從同一來(lái)源獲得了他們的惡意軟件。
卡巴斯基全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu 評(píng)論說(shuō):“已發(fā)現(xiàn)的關(guān)聯(lián)并不能讓我們知道誰(shuí)是SolarWinds攻擊的幕后黑手,但是,這些發(fā)現(xiàn)提供了更多的見(jiàn)解,可以幫助研究人員推進(jìn)這項(xiàng)調(diào)查。我們認(rèn)為,重要的是全球其他研究人員也可以調(diào)查這些相似之處,從而發(fā)現(xiàn)更多有關(guān)Kazuar和Sunburst(在SolarWinds攻擊中所使用的惡意軟件)來(lái)源的事實(shí)。以過(guò)去的經(jīng)驗(yàn)來(lái)看,例如,回顧WannaCry攻擊事件,在早期,很少有事實(shí)將其與Lazarus組織聯(lián)系起來(lái)。隨著時(shí)間的推移,更多的證據(jù)出現(xiàn),讓我們和其他人能夠很有把握地將它們聯(lián)系在一起。對(duì)這一主題的進(jìn)一步研究對(duì)解開(kāi)這個(gè)謎題非常重要”。
要了解更多有關(guān)Sunburst和Kazuar 相似之處的技術(shù)細(xì)節(jié),請(qǐng)查看Securelist上的報(bào)告。要閱讀卡巴斯基對(duì)Sunburst的研究結(jié)果,請(qǐng)點(diǎn)擊這里。要了解卡巴斯基如何保護(hù)器客戶(hù)抵御Sunburst后門(mén)程序,請(qǐng)?jiān)L問(wèn)這里。
為了避免被SolarWinds后門(mén)等惡意軟件感染的風(fēng)險(xiǎn),卡巴斯基建議:
· 為您的 SOC 團(tuán)隊(duì)提供對(duì)最新威脅情報(bào)(TI)的訪(fǎng)問(wèn)。卡巴斯基威脅情報(bào)門(mén)戶(hù)網(wǎng)站是卡巴斯基威脅情報(bào)的一站式訪(fǎng)問(wèn)點(diǎn),提供卡巴斯基20多年來(lái)收集的網(wǎng)絡(luò)攻擊數(shù)據(jù)和見(jiàn)解。用戶(hù)可以免費(fèi)使用一些功能,例如檢查文件、URL地址和 IP 地址。請(qǐng)點(diǎn)擊這里。
· 想要自己進(jìn)行調(diào)查的組織和企業(yè)可以受益于卡巴斯基威脅溯源引擎。它能夠?qū)l(fā)現(xiàn)的惡意代碼與惡意軟件數(shù)據(jù)庫(kù)進(jìn)行匹配,并根據(jù)代碼的相似性,追溯至之前發(fā)現(xiàn)的APT攻擊活動(dòng)。
關(guān)于卡巴斯基
卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全公司。卡巴斯基不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成最新的安全解決方案和服務(wù),為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費(fèi)者提供安全保護(hù)。公司提供全面的安全產(chǎn)品組合,包括領(lǐng)先的端點(diǎn)保護(hù)解決方案以及多種針對(duì)性的安全解決方案和服務(wù),全面抵御復(fù)雜的和不斷演化的數(shù)字威脅。全球有超過(guò)4億用戶(hù)使用卡巴斯基技術(shù)保護(hù)自己,我們還幫助全球250,000家企業(yè)客戶(hù)保護(hù)最重要的東西。
