Οι Microsoft, FireEye και GoDaddy κυκλοφορούν το kill switch για το Hack του SolarWinds Sunburst

Η Microsoft, το FireEye και η GoDaddy έχουν εκμεταλλευτεί έναν διακόπτη kill στο κακόβουλο λογισμικό Sunburst που διανέμεται ως μέρος του hack του Solarwinds, το οποίο έχει επηρεάσει περισσότερες από 18,000 εταιρείες και κυβερνητικά ιδρύματα.

Το μολυσμένο DLL διανεμήθηκε αφού το Solarwinds παραβιάστηκε και αναγκάστηκε να κυκλοφορήσει μια αυτόματη ενημέρωση με το ωφέλιμο φορτίο.

Αυτό το ωφέλιμο φορτίο, ευτυχώς, έχει ένα killswitch, ο οποίος ενεργοποιείται όταν το κακόβουλο λογισμικό συνδέεται σε μια περιοχή IP γύρω στο 20.140.0.0/15. Αυτή η περιοχή IP ελέγχεται συνήθως από τη Microsoft και το κακόβουλο λογισμικό μπορεί να προσπαθούσε να αποφύγει τον εντοπισμό μη δημιουργώντας επισκεψιμότητα στο δίκτυο της Microsoft.

«Το SUNBURST είναι το κακόβουλο λογισμικό που διανεμήθηκε μέσω του λογισμικού SolarWinds. Ως μέρος της ανάλυσης του SUNBURST από το FireEye, εντοπίσαμε έναν διακόπτη kill που θα εμπόδιζε το SUNBURST να συνεχίσει να λειτουργεί», δήλωσε το FireEye.

Ενώ η επιδιόρθωση θα απενεργοποιήσει το DLL, δεν θα αντιστρέψει τις ενέργειες που έχουν ήδη πραγματοποιηθεί από το μολυσμένο λογισμικό, οι οποίες μπορεί να περιλαμβάνουν την εγκατάσταση άλλων μόνιμων backdoors στο δίκτυο του θύματος.

«Ωστόσο, στις εισβολές που είδε το FireEye, αυτός ο ηθοποιός κινήθηκε γρήγορα για να δημιουργήσει πρόσθετους επίμονους μηχανισμούς για πρόσβαση σε δίκτυα θυμάτων πέρα ​​από την κερκόπορτα SUNBURST. Αυτό το killswitch δεν θα αφαιρέσει τον ηθοποιό από τα δίκτυα θυμάτων όπου έχουν δημιουργήσει άλλες κερκόπορτες. Ωστόσο, θα είναι πιο δύσκολο για τον ηθοποιό να αξιοποιήσει τις προηγούμενες εκδόσεις του SUNBURST», προειδοποίησε το FireEye.

Διαβάστε όλες τις λεπτομέρειες στο Υπολογιστής