黑哥带你从网络空间测绘看“SolarWinds Orion供应链攻击事件”

创宇君

image

关于SolarWinds Orion供应链攻击事件(戳此回顾:https://mp.weixin.qq.com/s/0U...),这两天的讨论比较火爆,这里顺带给一下ZoomEye上的数据。

搜索语法:app:"SolarWinds Orion" ,获得历史数据7,507条。从360的分析报告(https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q)来看,攻击时间可以追溯到2019年5月18日到2019年10月10日之间。

我们选了个时间段:app:"SolarWinds Orion" +after:"2019-05-18" ,得到3,663条结果。

国家分布Top10如下:

美国 1,429

印度尼西亚 372

中国 265

英国 169

伊朗 131

印度 83

澳大利亚 81

加拿大 68

巴基斯坦 67

墨西哥 61

image

其中,中国分布Top 10如下:

香港 53

广东 46

北京 40

上海 21

重庆 14

台湾 12

山东 10

江苏 10

浙江 8

陕西 7

image

(注:ZoomEye线上数据是“覆盖”更新的,所以可能存在一些之前用过SolarWinds Orion后被新服务覆盖的可能)

虽然从样本的技术分析及杀软对抗等逻辑可以判断本次攻击者的目标指向我国的可能性不大,但是从ZoomEye网络空间测绘的数据来看,本次“SolarWinds Orion供应链攻击事件”对我国还是有一定的影响的,不排除攻击者“顺手牵羊”的可能,所以建议相关使用过SolarWinds Orion的单位企业注意安全检查,排除风险

从近几年的案例来看,类似的“供应链”攻击效果及危害是显而易见的,很多的安全事件被披露后才开始事后分析及跟进,由此朋友 高渐离 在他的公众号里发了一篇文章(https://mp.weixin.qq.com/s/ytm62hJ59XIDi-QRlZTfEg)来吐槽。

其实我这里想顺带表达的是,在还不流行“供应链”这个概念的时候,我们就开发了一套系统WAM,能非常有效地监控,提早发现这类威胁。当然,WAM当时的设计主要针对WEB开源程序,其实对于bin/app等也是通用的。这套系统我们也在“KCon2018 404发布”环节里正式对外开源发布(https://github.com/knownsec/wam),并且该项目也选进了我们的“星链计划”(https://github.com/knownsec/4... )。

Superhei 2020.12.16

阅读 380

一名喜欢摄影的码农

4 声望
0 粉丝
0 条评论
你知道吗?

一名喜欢摄影的码农

4 声望
0 粉丝
宣传栏