SolarWinds失陷服务器测绘分析报告1

SolarWinds失陷服务器测绘分析报告 本报告对SolarWinds失陷服务器进行了深入的测绘分析，揭露了SolarWinds供应链攻击事件中攻击者植入的WebShell后门程序。报告涵盖了SolarWinds服务器的背景、WebShell后门分析、SolarWinds服务器存活情况和WebShell抽样排查等方面。 一、SolarWinds失陷服务器背景 2020年12月13日，SolarWinds公司的Orion平台软件被爆出存在供应链后门，使用该公司产品的数百家美国核心组织机构被国家级APT组织入侵。攻击者似乎已无法通过C&C控制失陷的SolarWinds服务器，但攻击者还在SolarWinds服务器中植入了另外的WebShell后门程序。 二、WebShell后门分析 攻击者在SolarWinds服务器的Web控制台植入了WebShell后门组件，该组件的原厂功能是根据网络请求数据给管理平台网页返回显示logo图片，而在后门组件中对原功能增加了一段后门代码。该处新增的后门代码为原文件新增了codes、clazz、method、args这四个额外的HTTP请求参数。攻击者通过HTTP请求传入的任意自定义代码，最终会被后门代码动态编译执行。 三、SolarWinds服务器存活情况 根据Quake搜索语法：app:"Solarwinds-orion"，我们发现SolarwindsOrion的一年内资产数据为3146条，独立IP数量为1414个。国家分布和国内各个省份分布如图所示。利用Quake搜索：app:"Solarwinds-orion"AND response:"2019.4"发现受影响的2019.4版本的有485个，利用Quake搜索：app:"Solarwinds-orion"AND response:"2020.2.1"发现受影响的2020.2.1版本有218个。 四、SolarWinds服务器环境分布 在对Solarwinds orion平台进行探测的同时，我们统计了搭建Solarwinds orion平台的windows server版本。根据探测的结果，可以发现Solarwinds服务器环境占据前五的主要是：WindowsServer 2016，WindowsServer 2012，WindowsServer 2008，WindowsServer 2003。 五、WebShell抽样排查 结合Webshell的分析特征，我们发现请求Orion/LogoImageHandler.ashx响应文件类型会被强制设置”text/plain”。我们针对该特征对全球的Solarwinds orion平台进行抽样分析，发现了多台疑似被植入WebShell后门的服务器。 六、总结 本次探测结果可知，全网视野下存在安全隐患的Solarwinds服务器数量仍是以美国地区为最多，而国内也存在少部分隐患资产。目前，SolarWinds供应链后门的C&C已被安全厂商和域名服务商接管锁定，但攻击者除开使用C&C控制失陷服务器外，很可能再通过其他预置的后门，利用外网失陷Solarwinds服务器再次入侵目标，请相关的组织机构提高警惕。