微软、FireEye 和 GoDaddy 为 SolarWinds Sunburst hack 发布终止开关

微软、FireEye 和 GoDaddy 已利用作为 Solarwinds 黑客攻击的一部分分发的 Sunburst 恶意软件中的 killswitch，该恶意软件已影响超过 18,000 家公司和政府机构。

受感染的 DLL 在 Solarwinds 被黑客入侵并被迫发布带有有效负载的自动更新后分发。

幸运的是，该有效负载有一个 killswitch，当恶意软件连接到 20.140.0.0/15 附近的 IP 范围时，它会被激活。 此 IP 范围通常由 Microsoft 控制，恶意软件可能一直试图通过不在 Microsoft 网络上生成流量来避免检测。

“SUNBURST 是通过 SolarWinds 软件分发的恶意软件。 作为 FireEye 对 SUNBURST 分析的一部分，我们确定了一个可阻止 SUNBURST 继续运行的终止开关，”FireEye 说。

虽然该修复程序将停用 DLL，但它不会逆转受感染软件已经采取的行动，其中可能包括将其他持久性后门安装到受害者的网络。

“然而，在 FireEye 看到的入侵中，该攻击者迅速采取行动，建立了额外的持久机制，以访问 SUNBURST 后门之外的受害者网络。 此 killswitch 不会将参与者从已建立其他后门的受害者网络中删除。 但是，这将使演员更难利用以前分发的 SUNBURST 版本，”FireEye 警告说。

阅读所有详细信息 Bleeping Computer。