SolarWinds在应对供应链攻击时困难重重，该供应链攻击导致众多企业和政府机构客户遭到攻击。

在该攻击中，国家威胁者将后门程序插入到SolarWinds Orion产品的更新中，然后将其分发给全球客户。该攻击是由FireEye于周日首次披露，FireEye是SolarWinds的客户，并因这个植入的后门程序而遭到攻击。该后门程序包含在DLL组件SolarWinds.Orion.Core.BusinessLayer.dll中，该组件是SolarWinds针对Orion的数字签名更新的一部分。

SolarWinds在周日立即采取措施来应对该攻击，并发布网络安全公告，敦促客户升级到最新版本，同时在周二发布新的修补程序以缓解后门程序攻击。但是，该供应商的响应仍然存在困难。

最近仍然有包含后门程序的DLL在SolarWinds网站可供公开下载（此后下载链接已被删除）。此外，SolarWinds的支持页面建议用户禁用Orion产品文件夹的防病毒扫描。

DLL的报告仍然可用，来自GreyNoise Intelligence创始人Andrew Morris以及Huntress Labs首席执行官Kyle Hanslovan和Bugcrowd的创始人兼董事长Casey Ellis。Morris在Twitter上表示，SolarWinds网站上的安装程序中仍然存在包含后门程序的DLL。

在Hanslovan和Huntress高级安全研究员John Hammond的电子邮件声明中，他们解释说，他们发现“三个SolarWinds程序以及计算机文件系统中有12个不同的位置存在DLL”。该研究还表明，DLL文件仍然存在于SolarWinds的网站上。

该电子邮件中写道：“我们发现SolarWindos的多个官方更新中包含后门DLL SolarWinds.Orion.Core.BusinessLayer.dll。在前段时间，仍然有三个完全被感染的软件包可以从SolarWinds的网站上公开下载，但在我们报告后被删除。”

Hanslovan和Hammond指出，仅DLL的存在并不表明威胁，并且DLL的实例可能不包含后门代码。

他们通过电子邮件说：“后门DLL都包含一类特定的代码OrionImprovementBusinessLayer，这些代码由攻击者添加。我们的分析将DLL分为四类：（1）恶意-我们已验证OrionImprovementBusinessLayer类中存在恶意的Sunburst代码；（2）信誉良好-我们已验证该类并且不存在恶意代码；（3 ）可疑-该类存在但不包含恶意功能，最后（4）未知-我们尚未验证状态。”

在发送给SearchSecurity的电子邮件中，Ellis进一步解释了DLL。

“针对Orion的CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp修补程序包在SolarWinds更新服务器上受到感染，而SolarWinds.Orion.Core.BusinessLayer.dll DLL通过Sunburst有效负载添加后门程序。DLL本身应存在于SolarWinds Orion的所有安装程序中，但如果它的哈希值为[b91ce2fa41029f6955bff20079468448]，则它是已感染的版本。此DLL具有很高的特权，可以从其C2服务器检索‘作业’。鉴于Orion通常对其监视的系统具有各种非常高特权的访问权限，这为攻击者提供了全面访问的机会。”

12月17日更新：Morris告诉SearchSecurity，尽管担心后门DLL持续存在，但他对SolarWind难以完全遏制和应对复杂攻击表示同情。

“我认为我们很容易指责SolarWinds，但是我知道他们正在尽最大的努力，这样的事情具有巨大的挑战性。人们很容易感到他们做得不够好，或者他们做得很差，但是如果你经历过这种规模的攻击以及面对这种熟练程度的攻击者，你会意识到这有多么困难，对这种攻击做出响应是非常痛苦的事情。”

当被问及SolarWinds产品仍存在后门DLL代码时，SolarWinds发言人援引向美国证券交易委员会（SEC）提交的8K报表中摘录的一部分。

该报表称：“根据调查显示，SolarWinds有证据表明该漏洞已插入Orion产品中并且存在于2020年3月至2020年6月之间（‘相关时期’）发布的更新中，这是由于Orion软件构建系统受到攻击而导致，并且Orion产品的源代码存储库中没有该漏洞。SolarWinds已采取措施修复Orion软件构建系统，并正在研究应采取哪些其他措施（如果有）。SolarWinds目前不知道此漏洞是否存在任何其他产品中。”

该文件还补充说，供应商当前认为，“在相关时期后更新的Orion产品的先前受影响版本不再包含该漏洞；但是，受影响Orion产品运行的服务器可能在漏洞存在期间受到攻击。”

关于上述支持页面–该页面当前处于活跃状态，最后一次更新于11月10日，该支持页面明确表示要从反病毒或反恶意软件扫描中排除Orion产品文件夹。

“对于SolarWinds产品，为防止潜在应用程序相关问题、意外行为和与性能有关的问题，当你在SolarWinds Primary安装防病毒或安全软件时，你至少需要考虑排除以下条目，Additional、HA备份轮询引擎和你运行的任何网络服务器。”

卡巴斯基实验室全球研究与分析团队主管Costin Raiu等网络安全专家对此建议提出了批评。Raiu称：“这真是疯了”。

但是，该页面底部有免责声明，指出页面上的信息“可能来自第三方”。

“免责声明：请注意，此处发布的任何内容均作为建议或推荐给您，供您内部使用。这不是您从SolarWinds购买的SolarWinds软件或文档的一部分，此处列出的信息可能来自第三方。您的企业应在内部进行审查，并评估将这些自定义脚本或建议整合到您的环境中的程度，您选择使用第三方内容的风险自负，并且您将全权负责相关责任。”

SearchSecurity请求SolarWinds提供有关该通报的更多信息，但该公司在发稿时未发表任何评论。