SolarWinds供应链APT攻击排查指南

快速排查步骤

1. 检查SolarWinds Orion版本

   • 受影响版本：2019.4 HF5至2020.2.1
   • 运行命令：Get-ItemProperty -Path "HKLM:\SOFTWARE\WOW6432Node\SolarWinds\Orion\" | Select-Object "VersionString"

2. 检测恶意DLL文件

   • 检查路径：C:\Windows\System32\SolarWinds.Orion.Core.BusinessLayer.dll
   • 使用命令：Get-ChildItem "C:\Windows\System32\SolarWinds.Orion.Core.BusinessLayer.dll" -Recurse -Force | Get-FileHash

3. 网络连接检查

   • 查找与以下域的异常连接： avsvmcloud[.]com databasegalore[.]com deftsecurity[.]com freescanonline[.]com highdatabase[.]com incomeupdate[.]com panhardware[.]com solartrackingsystem[.]net thedoccloud[.]com websitetheme[.]com zupertech[.]com

详细排查工具和方法

1. 使用Microsoft Sentinel或Splunk查询

// Microsoft Sentinel查询示例
let maliciousDomains = dynamic(["avsvmcloud.com", "databasegalore.com", "deftsecurity.com"]);
SecurityEvent
| where EventID == 3
| where RemoteIP has_any (maliciousDomains)
| project TimeGenerated, Computer, AccountName, RemoteIP, RemotePort

2. 使用FireEye检测工具

• 下载FireEye提供的检测工具：FireEye Sunburst检测工具
• 运行检测脚本：Invoke-SunBurstScan.ps1

3. 使用CrowdStrike检测

# 检查进程注入
Get-Process | Where-Object {$_.Modules.ModuleName -contains "SolarWinds.Orion.Core.BusinessLayer.dll"}

4. 使用YARA规则扫描

rule Sunburst_Backdoor {
    meta:
        description = "Detects Sunburst backdoor DLL"
        author = "Florian Roth"
        reference = "https://github.com/Neo23x0/signature-base"
        date = "2020-12-13"
    strings:
        $s1 = "SolarWinds.Orion.Core.BusinessLayer" fullword ascii
        $s2 = "OrionImprovementBusinessLayer" fullword ascii
        $s3 = "SolarWinds.BusinessLayerHost" fullword ascii
    condition:
        all of them
}

应急响应措施

1. 立即隔离受影响系统

   • 断开网络连接
   • 保留系统镜像用于取证

2. 凭证重置

   • 重置所有管理员和特权账户密码
   • 轮换所有API密钥和证书

3. 补丁和更新

   • 升级到SolarWinds Orion 2020.2.1 HF2或更高版本
   • 应用微软提供的Sunburst补丁

4. 深度检测

   • 检查横向移动痕迹
   • 审查所有域控制器日志
   • 检查Azure AD/O365异常活动

长期防护建议

1. 实施零信任架构
2. 加强供应链安全审查流程
3. 部署EDR/XDR解决方案持续监控
4. 建立威胁情报订阅及时获取最新IoC

如需更详细的定制化排查方案，请提供您的具体环境信息(如使用的安全产品、网络架构等)。