httpfile dll

微软安全中心的Solorigate（SolarWindsOrion平台）攻击详细分析：该次攻击主要基于SolarWindsOrionPlatform单个DLL文件，结合器供应链实现的，通过在DLL文件中添加代码行，对使用受影响产品的组织构成了严重威胁。SolarWindsOrionPlatform产品是包括政府和安全行业在内的垂直行业广泛使用的IT管理软件。插入DLL后门由近4,000行代码组成，使攻击能够在受感染的网络中不受限制地运行。漏洞文件经过数字签名，攻击者能够访问公司的软件开发或发行管道。一些证据表明，早在2019年10月，这些攻击者就一直在测试通过添加空类来插入代码的能力。因此，将恶意代码插入SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早，即在软件构建的最后阶段之前，其中包括对已编译的代码进行数字签名。结果，包含恶意代码的DLL也进行了数字签名，从而增强了其运行特权操作的能力，并且一直保持潜伏状态。攻击者在许多行动中都采取措施保持隐蔽性。例如，插入的恶意代码是轻量级的，并且仅具有在并行线程中运行添加了恶意软件的方法的任务，以使DLL的正常操作不会被更改或中断。比如，攻击者将其命名为OrionImprovementBusinessLayer，与其他代码混合。该类包含所有后门功能，包括13个子类和16个方法，其字符串被混淆以进一步隐藏恶意代码。加载后门后，将进行大量检查，以确保代码在实际的企业网络中运行，而不是在分析人员的计算机上运行。然后，它使用部分从从受影响的设备收集的信息中生成的子域联系命令与控制（C2）服务器，这样着每个受影响的域都有一个唯一的子域。这是攻击者试图逃避检测的另一种方式。由于后门功能和功能列表很长，因此该后门程序可以使动手键盘攻击者执行各种操作。一旦在网络内部进行操作，攻击者就可以在网络上进行侦察，提升特权并横向移动。攻击者逐渐在网络上移动，直到实现目标为止。网页链接