-
-
从网络空间测绘看“SolarWinds Orion供应链攻击事件”
-
发表于: 2020-12-18 14:17 1951
-
关于SolarWinds Orion供应链攻击事件(戳此回顾:https://mp.weixin.qq.com/s/0Uud6Y8rhiH3GEDV_IS9rg),这两天的讨论比较火爆,这里顺带给一下ZoomEye上的数据。
搜索语法:app:"SolarWinds Orion" ,获得历史数据7,507条。从360的分析报告(https://mp.weixin.qq.com/s/lh7yKHUxag-pcFBC7d0Q)来看,攻击时间可以追溯到2019年5月18日到2019年10月10日之间。
我们选了个时间段:app:"SolarWinds Orion" +after:"2019-05-18" ,得到3,663条结果。
国家分布Top10如下:
美国 1,429
印度尼西亚 372
中国 265
英国 169
伊朗 131
印度 83
澳大利亚 81
加拿大 68
巴基斯坦 67
墨西哥 61
其中,中国分布Top 10如下:
香港 53
广东 46
北京 40
上海 21
重庆 14
台湾 12
山东 10
江苏 10
浙江 8
陕西 7
(注:ZoomEye线上数据是“覆盖”更新的,所以可能存在一些之前用过SolarWinds Orion后被新服务覆盖的可能)
虽然从样本的技术分析及杀软对抗等逻辑可以判断本次攻击者的目标指向我国的可能性不大,但是从ZoomEye网络空间测绘的数据来看,本次“SolarWinds Orion供应链攻击事件”对我国还是有一定的影响的,不排除攻击者“顺手牵羊”的可能,所以建议相关使用过SolarWinds Orion的单位企业注意安全检查,排除风险。
从近几年的案例来看,类似的“供应链”攻击效果及危害是显而易见的,很多的安全事件被披露后才开始事后分析及跟进,由此朋友 高渐离 在他的公众号里发了一篇文章(https://mp.weixin.qq.com/s/ytm62hJ59XIDi-QRlZTfEg)来吐槽。
其实我这里想顺带表达的是,在还不流行“供应链”这个概念的时候,我们就开发了一套系统WAM,能非常有效地监控,提早发现这类威胁。当然,WAM当时的设计主要针对WEB开源程序,其实对于bin/app等也是通用的。这套系统我们也在“KCon2018 404发布”环节里正式对外开源发布(https://github.com/knownsec/wam),并且该项目也选进了我们的“星链计划”(https://github.com/knownsec/404StarLink-Project )。
Superhei 2020.12.16
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [推荐][原创]E 2846
- [翻译]新型 Golang 蠕虫在服务器上投放 XMRig Miner 病毒 2240
- [翻译] 1850
- UltraRank黑客组织的新攻击 2427
- 从网络空间测绘看“SolarWinds Orion供应链攻击事件” 1952