Supernova攻擊流程,是透過動態執行(DynamicRun)的方式進行,這也導致其攻擊難以被發現

Supernova攻擊流程,是透過動態執行(DynamicRun)的方式進行,這也導致其攻擊難以被發現

圖片來源: 

Palo Alto Networks

鎖定網管系統SolarWinds Orion的供應鏈攻擊事件,引起軒然大波,但在事發3天後(12月15日到18日),我們看到陸續有多家資安業者,包含GuidePoint微軟Palo Alto Networks,以及賽門鐵克,他們表示攻擊的來源可能不只一個,因為,他們發現了另一個名為Supernova的後門程式。由於Supernova的手法,與先前FireEye於13日揭露的SunBurst(或稱為Solarigate)後門程式行徑,可說是大不相同,因此他們研判,是另一個駭客組織發起的攻擊行動。

有多家資安業者指出本次供應鏈攻擊的事故,有第2組駭客出手的情況,我們看到新聞網站ZDNetBleeping Computer,在21日率先報導此事。其中,Palo Alto的研究人員,針對Supernova揭露較為詳細的分析結果,並指出另一家資安業者GuidePoint揭露的資訊,與他們的大致相同。

他們認為,該後門程式是針對SolarWinds Orion而來,這是偽冒成合法.NET程式庫(App_web_logoimagehandler.ashx.b6031896.dll)的木馬程式,而原本這隻程式庫的用途,是提供HTTP API,讓Orion主機收到指定的GIF圖片檔案時,回應其他的子系統。Palo Alto指出,駭客植入此DLL檔案的程式碼看似無直接危害,導致資安系統可能會輕易放行,甚至是用人工鑑識來調查,也可能會忽略。

為何會看起來沒有問題?Palo Alto表示,因為Supernova的網頁殼層是在記憶體內(In-Memory)運作,其酬載(Payload)則是動態產生及執行,駭客這麼做的結果,就是在受害電腦裡的磁碟完全沒有留下執行檔案的痕跡,使得數位鑑識與事件回應的分析變得更加困難。

而這個Supernova後門程式也不是直接執行。事實上,研究人員指出,駭客是藉由有效的.NET應用程式,以參數的方式來挾帶執行Supernova,利用這個後門程式在受害組織的SolarWinds Orion系統裡,來下載、編譯,以及執行惡意的PowerShell腳本。

Palo Alto指出,相較於SunBurst,利用Supernova發動攻擊行動的樣貌尚不甚明朗,但他們認為並非是製作SunBurst的駭客出手,主要原因是Supernova不像SunBurst冒用合法簽章,再加上這2個後門程式的攻擊手法差異極大。而微軟的資安研究員Nick Carr,17日於推特上首度提出這樣的看法,而微軟後來也在部落格上,提出類似的觀點。

熱門新聞


Advertisement