E安全12月17日訊微軟和一些科技公司攻陷了SolarWinds黑客攻擊中發揮核心作用的一個域名。通過奪取域名,微軟及其合作夥伴試圖識別所有受害者,同時也在阻止攻擊者對當前受感染網絡的入侵升級。
據悉,被攻陷的問題域是avsvmcloud.com。該軟體作為惡意軟體的指揮和控制伺服器,通過對該公司的Orion應用程式進行木馬升級,向大約18000名Solar Winds用戶發送了惡意軟體。
Solar Winds 自2019.4到2020.2.1之間更新版本,在2020年3月到2020年6月之間發布,包含一種名為SUNBURST(也被稱為Solorigate)的惡意軟體。一旦安裝到電腦上,惡意軟體會休眠12到14天。
根據安全公司FireEye的分析,C&C域會回復一個包含CNAME欄位的DNS響應,該欄位包含另一個域的信息,SUNBURST惡意軟體將從該域獲得進一步的指令和額外的有效負載,以便在受感染公司的網絡上執行。
PART-1
下架!以防止最後一擊
據悉,該問題域avsvmcloud.com已被一個科技公司聯盟收購,並將域名轉給微軟所有。內部消息人士稱,這次收購行動是為了防止Solar Winds黑客向受感染的電腦發送新訂單而採取的「保護性措施」。
即使Solar Winds的黑客行為在周日公開,SUNBURST的運營商仍有能力在那些未能更新其Orion應用程式,並在其網絡上安裝SUNBURST惡意軟體的公司的網絡上部署額外的惡意軟體有效負載。在提交給SEC的文件中,Solar Winds估計,至少有1.8萬名用戶安裝了木馬化的Orion應用程式更新,很可能在他們的內部網絡中安裝了SUNBURST第一階段惡意軟體。
然而,這些黑客似乎並沒有事先掌握所有這些系統,只是對知名目標的網絡實施了幾次精心策劃的入侵。美國安全公司賽門鐵克(Symantec)在周一發布的一份報告中證實了這一點。賽門鐵克表示,在其100名客戶的內部網絡上發現了SUNBURST惡意軟體,但沒有看到任何第二階段有效載荷或網絡升級活動的證據。
同樣,路透社(Reuters)本周一也報導稱,許多安裝了木馬化的Orion應用更新的公司沒有發現內部網絡有額外活動和升級的證據,這證實黑客只是針對知名目標。
自Solar Winds黑客事件曝光以來,已確認的受害者人數增加到包括:
美國網絡安全公司FireEye
美國財政部
美國國家電信和信息管理局
美國國家衛生研究院
網絡安全和基礎設施局
美國國土安全部
美國國務院
PART-2
微軟正努力尋找所有受害者
目前,avsvmcloud.com域名重定向到一個微軟擁有的IP位址,微軟及其合作夥伴從安裝了特洛伊化SolarWinds應用程式的所有系統接收信標。這種技術被稱為「地陷挖掘」(sinkholing),它允許微軟及其合作夥伴建立一份所有受感染的受害者名單,這些組織計劃利用這份名單通知所有受感染的公司和政府機構。
日前,美國聯邦調查局和網絡安全和基礎設施安全局的代表正在尋找其他可能受到威脅的美國政府機構。由於太陽風公司在美國政府擁有廣泛的客戶,政府官員將太陽風公司的妥協視為國家安全緊急事件。就在Solar Winds黑客入侵事件曝光的前一天,白宮罕見地召開了美國國家安全委員會會議,討論黑客攻擊及其後果。
註:本文由E安全編譯報導,轉載請注原文地址
https://www.easyaq.com
—— 分享新聞,還能獲得積分兌換好禮哦 ——