Fireeye 最近发现的那个攻击手段可真是厉害啊！

資深大佬 : levelworm 5

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

反正我什么也看不懂，只能看出来为了躲避探测使出浑身解数了，他们应该还是拿到了 binary 做逆向分析的。就是不知道一开始谁找到这玩意的，可真的不容易。

大佬有話說 (6)

主資深大佬 : levelworm

我在网上搜索了一下，这次攻击的时间和范围应该都很广，因为这次 SolarWind 的更新好几个月之前就发布了，而且他们还有很多重磅的客户。。。

資深大佬 : yksoft1test

这种玩法最大的受害者还是 SolarWind 本身了吧。不知道这个恶意组件实现的这些 Orion 框架上的接口是全部公有的，还是有部分私有的？如果实现了私有的接口，再加上用的是 SolarWind 的合法签名，这玩意要么开发成本不低，要么干脆就是人肉潜入了 SolarWind 干的。

当然这玩意还是有敏感操作的，会被杀软监控到。
Blocklisted services are stopped by setting their HKLMSYSTEMCurrentControlSetservices<service_name>Start registry entries to value 4 for disabled.

主資深大佬 : levelworm

@yksoft1test 的确是有怀疑是内部人作案。太阳风大客户一大堆，细思恐极啊。。。

主資深大佬 : levelworm

@yksoft1test
看这里：
https://twitter.com/KyleHanslovan/status/1338358831722749953
360 好像是几天前唯一能够探测到这玩意的杀软

資深大佬 : yksoft1test

@levelworm 按特征码方式，杀软对于这种有合法签名的文件，可能连采样都未必会采到。但是这种试图修改杀软服务项的行为，是很有可能被监控到的。

資深大佬 : yksoft1test

@levelworm 大客户够多，或者有 APT 组织想对付的敏感大客户的话，派出人肉木马的成本都可以承受吧。
想要获得合法签名，要么通过哈希撞击把别人的私钥撞出来，要么就是直接拿到了私钥。人肉木马做到后者是相对简单的。