آلودگی درب‌پشتی در نرم‌افزار SolarWinds Orion

شرح کلی

نوع: بدافزار درب پشتی (Backdoor)
اسامی بدافزار:
Backdoor.Win32.SunBurst
BackDoor.SiggenNET
Trojan.MSIL/Solorigate
درجه تخریب: متوسط
میزان شیوع: متوسط

بدافزار درب پشتی (Backdoor) چیست؟

بدافزارهای درب پشتی (Backdoor) برنامه‌هایی هستند که امکان دور زدن مکانیزم‌های امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار می‌دهند. هکرها می‌توانند با استفاده از این روش، بدون نیاز به اعتبار سنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب پشتی اشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم، از آنها استفاده می‌کنند.

آلودگی درب پشتی ابزار SolarWinds چیست؟

در تاریخ ۳۰ آذر ۹۹، شرکت SolarWinds تولیدکننده محصولات نرم‌افزاری، اعلام نمود که قربانی یک حمله سایبری شده است که در نتیجه آن نسخه‌های نرم‌افزار SolarWinds Orion که در بازه زمانی اسفند ۹۸ تا مرداد ۹۹ منتشر شده بودند، حاوی یک کد درب‌پشتی بوده است. این درب‌پشتی در صورت متصل بودن نرم‌افزار به اینترنت، به نفوذگران اجازه می‌دهد هر نوع فرمانی را از راه دور بر روی سیستم و در نتیجه شبکه قربانی اجرا نمایند.

برآوردها نشان می‌دهد که حداقل ۱۸۰۰۰ مشتری از مشتریان رسمی این شرکت، نسخه‌های آلوده را نصب داشته و در معرض خطر بوده‌اند. از جمله قربانیان این حمله، شرکت امنیتی FireEye، بسیاری از سازمان‌های دولتی و امنیتی آمریکا، و حداقل هفت کشور دیگر را شامل می‌شوند.

نسخه‌های آلوده SolarWinds Orion به شرح زیر هستند:

– 2019.4 HF 5

– 2020.2

– 2020.2 HF 1

در صورتی که هر یک از نسخه‌های SolarWinds Orion که به آن اشاره شد را نصب دارید یا در گذشته نصب داشته‌اید، لازم است با دقت بالایی نسبت به بررسی شبکه از لحاظ آلوده شدن یا مورد نفوذ قرار گرفتن اقدام نمایید.

درجه خطر بالای این درب‌پشتی، امکان کنترل کامل سیستم قربانی از راه دور، دسترسی سیستمی که Orion بر روی آن نصب است به تمامی تجهیزات و سرورهای مهم شبکه، و نیز درجه مهارت و پیچیدگی نفوذگرانی که از این درب‌پشتی استفاده کرده‌اند، برخورد با این موضوع و بررسی آن را پیچیده می‌نماید و توصیه می‌شود حتما از تیم‌های فارنزیک متخصص بهره بگیرید.

توضیحات فنی

سناریوی استفاده شده در این حمله به این صورت است که نفوذگران جهت دستیابی به اهداف خود، از یک حمله زنجیره تامین (Supply-Chain Attack) استفاده کرده‌اند. در حملات زنجیره تامین، نفوذگر بدون نفوذ مستقیم به سیستم‌های هدف اصلی، اقدام به شناسایی ابزار‌های مورد استفاده در شبکه هدف خود کرده‌ و این ابزارها را مورد هدف قرار می‌دهد. از آنجا که معمولا نرم‌افزارها و تجهیزاتی که از منابع مطمئن خریداری می‌شوند مورد بازبینی دقیقی قرار نمی‌گیرند، این نوع حملات می‌توانند بسیار خطرناک باشند.

در مورد نرم‌افزار SolarWinds Orion با توجه به اینکه در بسیاری از شبکه‌های بزرگ و کوچک در سراسر دنیا مورد استفاده قرار می‌گیرد و اصولا نرم‌افزار با توجه به ماهیت آن (که یک سیستم مدیریت شبکه NMS است) در مرکز شبکه نصب شده و به تمام تجهیزات و سرورهای شبکه دسترسی مستقیم دارد، هدف قرار گرفته است.

در نتیجه، با آلوده کردن نرم‌افزار SolarWinds Orion، تنها کاری که لازم بوده نفوذگران انجام دهند، انتظار برای نصب این نرم‌افزار توسط قربانیان مختلف بوده است. درب‌پشتی موجود در این نرم‌افزار، پس از گذشت ۱۲ الی ۱۴ روز از نصب نسخه آسیب‌پذیر فعال شده و جهت دریافت دستورات با سرور فرماندهی و کنترل (Command & Control) نفوذگر تماس می‌گیرد. نفوذگر با داشتن نام و مشخصات کامل سیستم آلوده، به سادگی قربانی خود را انتخاب نموده و بقیه فرایند نفوذ را در پیش خواهد گرفت.

لازم به ذکر است که تمامی نسخه‌های آلوده این بدافزار که در بازه زمانی مربوطه منتشر شده‌اند، دارای امضای دیجیتال SolarWinds هستند.

شکل ۱- گواهینامه امضای دیجتال Solarwinds

مشخصات آلودگی

۱. به‌روزرسانی ابزار Orion در حد فاصل اسفند 98 تا آذر 99 (این اتفاق به تنهایی مشخصه آلودگی سیستم بوده و نیازمند بررسی فارنزیک است)

۲. مشاهده ارتباط با هر یک از آدرس‌های زیر:

• avsvmcloud.com
• digitalcollege.org
• freescanonline.com
• deftsecurity.com
• thedoccloud.com
• …

۳. مشاهده ارتباط با هر یک از IP‌های زیر:

• 13.59.205.66
• 54.193.127.66
• 54.215.192.52
• 34.203.203.23
• 139.99.115.204
• …

روش مقابله و پاک‌سازی سیستم

در صورتی که در بازه زمانی ذکر شده (اسفند ۹۸ تا آذر ۹۹) اقدام به به‌روزرسانی هر کدام از محصولات SolarWinds در شبکه خود کرده‌اید، شبکه شما (نه فقط سیستمی که ابزار مربوطه بر روی آن نصب شده است) قابل نفوذ بوده و حذف یا به‌روزرسانی نرم‌افزار، شبکه شما را پاک‌سازی نمی‌کند. در همین راستا، لازم است تا در سریعترین زمان ممکن جهت پیدا و خنثی کردن تمامی آلودگی‌های احتمالی و راه‌های نفوذ موجود در شبکه خود، به کمک متخصصان مربوطه اقدام به فارنزیک کامل شبکه خود نمایید. همچنین، لازم است تا اقدامات زیر را در دستور کار خود قرار دهید:

۱. تهیه یک Snapshot از وضعیت فعلی تمامی سیستم‌هایی که به هر نحوی با محصولات شرکت SolarWinds در ارتباط بوده‌اند و ارتباط با یک تیم فارنزیک متخصص

۲. قطع ارتباط نرم‌افزارهای مدیریت و مانیتورینگ شبکه با اینترنت و قرار دادن آن در VLAN جداگانه‌ای که از اینترنت قابل دسترسی نباشد (چه در صورت استفاده از محصولات SolarWinds چه هر محصول دیگری)

۳. ایزوله کردن شبکه‌ای سیستم‌های تحت تاثیر قرار گرفته

۴. تغییر تمامی رمزهای عبور استفاده شده در سطح شبکه (این اقدام بایستی پس از ایزوله‌سازی صورت پذیرد و با اطلاعات هویتی جدید به هیچ وجه با سیستم‌های آلوده ارتباط برقرار نشود).

۵. به‌روزرسانی نسخه‌های آلوده به نسخه ارائه شده در تاریخ ۲۵ آذر ۱۳۹۹ (۱۵ دسامبر ۲۰۲۰) از این آدرس

* در صورتی که از سایر محصولات شرکت SolarWinds غیر از Orion نیز استفاده می‌کنید، بهتر است تا تمامی ارتباطات سیستم‌های مربوطه را بررسی و در سریع‌ترین زمان اقدام به به‌روزرسانی به آخرین نسخه ارائه شده از سایت‌های معتبر فرمایید.

آنتی ویروس پادویش نسخه‌های آلوده این ابزار را به نام Backdoor.Win32.SunBurst شناسایی کرده و ویژگی جلوگیری از نفوذ آنتی ویروس پادویش نیز از برقراری ارتباط با سرورهای شناخته شده C&C این بدافزار جلوگیری می‌کند.

ضمنا تیم تحلیل فارنزیک پادویش آماده پاسخگویی به عموم کاربران و سازمان‌هایی است که نیازمند بررسی فارنزیک در شبکه خود می‌باشند.