Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
FloreSecurity - Lab
26 décembre 2020

SolarWinds infecté par Supernova.

Bonjour.

Cet article vient compléter le précédent en rapport avec les soucis de l'entreprise SolarWinds quant à sa suite de logiciels Orion.

Un autre programme malveillant a été détecté, écrit en C# (tout comme SunBurst), il se prénomme Supernova (décidément, on en finit plus avec les noms a couché dehors avec un ticket de logement).

Commençons par expliquer ce qu'est Supernova.

Il faut tout d'abord savoir que Supernova est très similaire au niveau de la méthode d'attaque a son homologue sunburst.
Supernova modifie comme SunBurst un fichier .dll légitime et est charger par ce biais dans le logiciel Orion.

La .dll "app_web_logoimagehandler.ashx.b6031896.dll" est remplacé par une version malveillante. Contrairement à SunBurst, la .dll n'est pas signée.

La persistance se fait via le chargement de la .dll par le programme Orion, ce qui rend Supernova très furtif, mais aussi très fragile tout comme SunBurst.

Il est aussi fait mention d'un second module malveillant capable quand à lui d'exploiter le programme Orion pour permettre le déploiement du code malveillant.

Mais, personne n'a eu la présence d'esprit ni de nous transmettre le nom et les indicateurs de copromissions de ce second module, ni de nous dire s'il se trouvait sur tous les systèmes infectés par Supernova, ou seulement sur les ordinateurs de la société SolarWinds, qui distribue le programme Orion.

Côté fonctionnalité, c'est une sorte de porte dérobée qui est conçue pour d'une part, recevoir des instructions de son propriétaire, d'autre part, générer le code qui lui est envoyé et l'exécuter en mémoire (cela fait qu'il n'y a pas de fichier compiler sur l'ordinateur, tout le code est généré et exécuter en mémoire pour empêcher les programmes antivirus de détecter le code malveillant).

Jais déjà vue plusieurs fois du code permettant d'exécuter en mémoire un autre code, ce qui change c'est qu'ici c'est un module .dll qui génère le code et est parfaitement bien intégrer au programme qui charge le module .dll malveillant.

Pour information, la dernière mise à jour de Orion permet de résoudre les vulnérabilités et assainir le programme.

Le programme que FloreSecurity a développé pour SunBurst prendra aussi en charge Supernova.

 

Vincent Léon Flores.

Posté par FloreSec73 à 17:23 - Commentaires [] - Permalien [#]
Tags: CybersécuritéBackDoorRootKitSolarWindsFloreSecuritySupernova

Partager cet article

Vous aimez ?
0 vote
Démystification de BackDoor.SunBurst (SolarWinds)
VPNFilter, toujours actif? Mais LOUL!
Vous aimerez aussi :
Analyse de l'attaque informatique Russe sur l'Ukraine
Analyse de l'attaque informatique Russe sur l'Ukraine
Démystification - Le Ransomware
Démystification - Le Ransomware
Démystification - La bande a RootKit
Démystification - La bande a RootKit
Emotet n'est pas mort.
Emotet n'est pas mort.
Publicité
Publicité
Commentaires
FloreSecurity - Lab
  • FloreSecurity est une entreprise Savoisienne de sécurité informatique. Vous trouverez ici une partit de ces travaux de recherche en cybersécurité. Bonne visite sur notre blog. Cordialement, Vincent Léon Flores.
  • Accueil du blog
  • Créer un blog avec CanalBlog
Publicité
Recherche
Archives
Publicité