微軟、FireEye與GoDaddy創造SolarWinds攻擊的銷毀開關

駭客集團於SolarWinds Orion Platform平台上植入Sunburst木馬程式,以進駐採用該平台的各大組織,而微軟、FireEye與GoDaddy聯手打造該攻擊的銷毀開關(kill switch),強迫Sunburst自行中止行動

駭客集團於SolarWinds Orion Platform平台上植入Sunburst木馬程式,以進駐採用該平台的各大組織,而微軟、FireEye與GoDaddy已聯手打造該攻擊的銷毀開關(kill switch),強迫Sunburst自行中止行動。

駭客是在合法的SolarWinds函式庫中嵌入了惡意的SolarWinds.Orion.Core.BusinessLayer.dll(Sunburst),還讓該DLL檔案可與駭客所建立的C&C伺服器通訊。

根據資安部落客Brian Krebs與Bleeping Computer的報導,原本由駭客所掌控的C&C伺服器網域名稱為avsvmcloud[.]com,但該網域已被沒收並解析至微軟所持有的IP位址 20.140.0.1。

此舉一來可允許微軟捕獲惡意流量並分析受害者,二來取得駭客的C&C流量也能制止Sunburst的行為。FireEye僅簡單地向Bleeping Computer透露,在特定的情況下,Sunburst會終止自己的活動,而且適用於那些依然連結至avsvmcloud[.]com的Sunburst,不管是之前感染的Sunburst,或是新感染的Sunburst。

而Bleeping Computer則分析,若GoDaddy建立一個萬用DNS解析方案,把所有avsvmcloud[.]com的子網域都解析至20.140.0.1,再把20.140.0.1列入黑名單,那麼Sunburst可能就會終止自己的所有活動。

不過,FireEye亦提醒,此一銷毀開關只對Sunburst有用,假使組織網路已被入侵,駭客可能已植入了其它存取工具,仍然必須進行全面的清查。

文章來源:iThome

Scroll Up