A Microsoft, a FireEye és a GoDaddy kiadja a kill kapcsolót a SolarWinds Sunburst feltöréséhez

A Microsoft, a FireEye és a GoDaddy kihasználta a Solarwinds feltörése részeként terjesztett Sunburst kártevő egy killswitch-jét, amely több mint 18,000 XNUMX vállalatot és kormányzati intézményt érintett.

A fertőzött DLL-t azután terjesztették, hogy a Solarwindst feltörték, és arra kényszerítették, hogy kiadjon egy automatikus frissítést a hasznos adatokkal együtt.

Ennek a rakománynak szerencsére van egy killswitche, amely akkor aktiválódik, amikor a kártevő 20.140.0.0/15 körüli IP-tartományhoz csatlakozik. Ezt az IP-tartományt általában a Microsoft felügyeli, és a kártevő megpróbálhatta elkerülni az észlelést azáltal, hogy nem generált forgalmat a Microsoft hálózatán.

„A SUNBURST az a rosszindulatú program, amelyet a SolarWinds szoftveren keresztül terjesztettek. A FireEye SUNBURST elemzésének részeként azonosítottunk egy killswitchet, amely megakadályozza a SUNBURST működésének folytatását” – mondta FireEye.

A javítás ugyan deaktiválja a DLL-t, de nem vonja vissza a fertőzött szoftver által már végrehajtott műveleteket, amelyek magukban foglalhatják más állandó hátsó ajtók telepítését az áldozat hálózatába.

„A FireEye által tapasztalt behatolások során azonban ez a színész gyorsan lépett, hogy további tartós mechanizmusokat hozzon létre az áldozati hálózatokhoz való hozzáféréshez a SUNBURST hátsó ajtón túl. Ez a killswitch nem távolítja el a színészt az áldozathálózatokból, ahol más hátsó ajtókat hoztak létre. Ez azonban megnehezíti a színész számára, hogy kihasználja a SUNBURST korábban terjesztett verzióit” – figyelmeztetett FireEye.

Olvassa el az összes részletet a Alvó számítógép.