资料来源:Microsoft和行业合作伙伴抓住了SolarWinds hack中使用的关键命令和控制域

2020-12-16 05:29:54

ZDNet从熟悉此事的消息人士获悉,微软和科技公司联盟今天进行了干预,以夺取和掩埋在SolarWinds黑客事件中起着核心作用的域名。

有问题的域是avsvmcloud [.com],它是用于命令和控制(C& C)服务器的恶意软件,该恶意软件通过公司Orion应用程序的木马更新发送给大约18,000个SolarWinds客户。

SolarWinds Orion在2020年3月至2020年6月之间发布了从2019.4到2020.2.1的更新版本,其中包含一种名为SUNBURST(也称为Solorigate)的恶意软件。

一旦安装在计算机上,该恶意软件将处于休眠状态12到14天,然后ping avsvmcloud [。] com的子域。

根据安全公司FireEye的分析,C& C域将使用DNS响应进行回复,该DNS响应包含一个CNAME字段,其中包含有关另一个域的信息,SUNBURST恶意软件将从该域中获取进一步的指令和其他有效负载以在受感染的公司上执行的网络。

今天早些时候,一个由技术公司组成的联盟夺取了avsvmcloud [.com]并使其陷入瘫痪,将域名转移到了Microsoft的财产中。

熟悉今天行动的消息人士称,此次下架是“保护性工作”。旨在防止SolarWinds骇客背后的威胁参与者向受感染的计算机发送新订单。

即使SolarWinds骇客事件在周日公开,SUNBURST运营商仍能够在无法更新Orion应用程序且仍在其网络上安装SUNBURST恶意软件的公司网络上部署其他恶意软件有效载荷。

在周一提交的SEC文件中,SolarWinds估计至少有18,000个客户安装了木马Orion应用程序更新,并且很可能在其内部网络上拥有第一阶段的SUNBURST恶意软件。

但是,黑客似乎并未充分利用所有这些系统,只是对精心设计的目标网络进行了少量精心策划的入侵。

美国安全公司赛门铁克(Symantec)周一在一份报告中证实了这一点,该报告称该公司在其100个客户的内部网络中发现了SUNBURST恶意软件,但没有看到任何证据表明第二阶段的有效负载或网络升级活动。

同样,路透社周一还报道,经ZDNet的独立消息来源确认,安装木马Orion应用程序更新的许多公司都没有发现内部网络上有其他活动和升级的迹象,这证实了黑客只是追随了备受瞩目的目标。

自周日以来,当SolarWinds黑客曝光后,已确认的受害者人数已经增加到:

当前,avsvmcloud [。] com域重定向到Microsoft拥有的IP地址,Microsoft及其合作伙伴从所有安装了特洛伊木马程序的系统中接收信标。

这项技术被称为``沉陷''(sinkholing),它允许Microsoft及其合作伙伴建立所有受感染受害者的列表,这些组织计划将其用于通知所有受影响的公司和政府机构。

"这不是国际执法机构甚至提供商首次查获与恶意软件相关的域," ExtraHop首席技术官Jesse Rothstein在一封电子邮件中告诉ZDNet,指的是Microsoft先前针对Necurs和TrickBot僵尸网​​络进行的下架和破坏。

当前的拆除和瓦解工作还包括联邦调查局和网络安全与基础设施安全局的代表,希望找到可能受到损害的其他美国政府机构。

由于SolarWinds'美国政府客户广泛,政府官员将SolarWinds的妥协视为国家安全紧急情况。在SolarWinds违规事件公开之前的一天,白宫召开了一次罕见的美国国家安全委员会会议,讨论了黑客入侵及其影响。

Microsoft,FireEye和CISA可以提供折中指标以及如何发现和处理SUNBURST恶意软件感染的说明。