Microsoft、FireEye、GoDaddyがSolarWindsSunburstハックのキルスイッチをリリース

読書時間アイコン 2分。 読んだ


読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

Microsoft、FireEye、およびGoDaddyは、Solarwindsハックの一部として配布されたSunburstマルウェアのキルスイッチを利用しており、18,000を超える企業や政府機関に影響を及ぼしています。

感染したDLLは、Solarwindsがハッキングされ、ペイロードの自動更新を強制的に解放された後に配布されました。

幸い、そのペイロードにはキルスイッチがあり、マルウェアが20.140.0.0/15付近のIP範囲に接続するとアクティブになります。 このIP範囲は通常、Microsoftによって制御されており、マルウェアはMicrosoftのネットワーク上にトラフィックを生成しないことで検出を回避しようとしている可能性があります。

「SUNBURSTは、SolarWindsソフトウェアを介して配布されたマルウェアです。 FireEyeによるSUNBURSTの分析の一環として、SUNBURSTの動作を継続できないようにするキルスイッチを特定しました」とFireEyeは述べています。

修正によりDLLが非アクティブ化されますが、感染したソフトウェアによってすでに実行されたアクションは元に戻されません。これには、被害者のネットワークへの他の永続的なバックドアのインストールが含まれる場合があります。

「しかし、FireEyeが見た侵入では、この攻撃者は、SUNBURSTバックドアを超えて被害者のネットワークにアクセスするための追加の永続的なメカニズムを確立するために迅速に動きました。 このキルスイッチは、他のバックドアを確立した被害者のネットワークからアクターを削除しません。 ただし、アクターが以前に配布されたバージョンのSUNBURSTを活用することはより困難になります」とFireEyeは警告しました。

ですべての詳細を読む ブリーピングコンピューター。

ユーザーフォーラム

0メッセージ