微軟、FireEye 和 GoDaddy 為 SolarWinds Sunburst hack 發布終止開關
2分鐘讀
更新了
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
微軟、FireEye 和 GoDaddy 已利用作為 Solarwinds 黑客攻擊的一部分分發的 Sunburst 惡意軟件中的 killswitch,該惡意軟件已影響超過 18,000 家公司和政府機構。
受感染的 DLL 在 Solarwinds 被黑客入侵並被迫發布帶有有效負載的自動更新後分發。
幸運的是,該有效負載有一個 killswitch,當惡意軟件連接到 20.140.0.0/15 附近的 IP 範圍時,它會被激活。 此 IP 範圍通常由 Microsoft 控制,惡意軟件可能一直試圖通過不在 Microsoft 網絡上生成流量來避免檢測。
“SUNBURST 是通過 SolarWinds 軟件分發的惡意軟件。 作為 FireEye 對 SUNBURST 分析的一部分,我們確定了一個可阻止 SUNBURST 繼續運行的終止開關,”FireEye 說。
雖然該修復程序將停用 DLL,但它不會逆轉受感染軟件已經採取的行動,其中可能包括將其他持久性後門安裝到受害者的網絡。
“然而,在 FireEye 看到的入侵中,該攻擊者迅速採取行動,建立了額外的持久機制,以訪問 SUNBURST 後門之外的受害者網絡。 此 killswitch 不會將參與者從已建立其他後門的受害者網絡中刪除。 但是,這將使演員更難利用以前分發的 SUNBURST 版本,”FireEye 警告說。
閱讀所有詳細信息 Bleeping Computer。