微軟、FireEye 和 GoDaddy 為 SolarWinds Sunburst hack 發布終止開關

微軟、FireEye 和 GoDaddy 已利用作為 Solarwinds 黑客攻擊的一部分分發的 Sunburst 惡意軟件中的 killswitch，該惡意軟件已影響超過 18,000 家公司和政府機構。

受感染的 DLL 在 Solarwinds 被黑客入侵並被迫發布帶有有效負載的自動更新後分發。

幸運的是，該有效負載有一個 killswitch，當惡意軟件連接到 20.140.0.0/15 附近的 IP 範圍時，它會被激活。 此 IP 範圍通常由 Microsoft 控制，惡意軟件可能一直試圖通過不在 Microsoft 網絡上生成流量來避免檢測。

“SUNBURST 是通過 SolarWinds 軟件分發的惡意軟件。 作為 FireEye 對 SUNBURST 分析的一部分，我們確定了一個可阻止 SUNBURST 繼續運行的終止開關，”FireEye 說。

雖然該修復程序將停用 DLL，但它不會逆轉受感染軟件已經採取的行動，其中可能包括將其他持久性後門安裝到受害者的網絡。

“然而，在 FireEye 看到的入侵中，該攻擊者迅速採取行動，建立了額外的持久機制，以訪問 SUNBURST 後門之外的受害者網絡。 此 killswitch 不會將參與者從已建立其他後門的受害者網絡中刪除。 但是，這將使演員更難利用以前分發的 SUNBURST 版本，”FireEye 警告說。

閱讀所有詳細信息 Bleeping Computer。