Microsoft今天宣布計劃開始強行阻止和隔離已知含Solorigate(SUNBURST)惡意軟體的SolarWinds Orion應用程式版本。
微軟的決定與上週末曝光的大規模供應鏈攻擊有關,該攻擊影響了IT軟體供應商SolarWinds。上週日一些新聞媒體報導說,與俄羅斯政府有聯繫的國家APT駭客入侵了SolarWinds,並在網路監視和庫存平台Orion的更新中插入了惡意軟體。通過SolarWinds的自動更新機制將惡意binary檔分發給大約18,000個客戶,其中包括許多美國政府機構。威脅參與者使用這些惡意binaries檔安裝了稱為Solorigate(Microsoft)或SUNBURST(FireEye)的後門
新聞報導發布後不久, SolarWinds確認 在2020年3月至2020年6月之間發布的Orion應用程式2019.4至2020.2.1版本已被惡意軟體篡改。
根據公司的正式聲明,Microsoft是最早確認SolarWinds事件的網路安全供應商之一。在同一天,該公司為SolarWinds Orion應用程式中包含的Solorigate惡意軟體添加了檢測規則 。
儘管Microsoft已經在檢測並隔離後門程式,但他們尚未隔離受感染的SolarWinds的binary檔,因為它可能會影響客戶使用的基本網路管理操作。
由於該木馬軟體帶來的威脅,Microsoft已宣布,從明天(太平洋標準時間)12月16日上午8:00開始,Microsoft Defender將開始隔離受損的SolarWinds的 binary檔。
Microsoft Defender將受感染的SolarWinds的 binary檔檢測為“ Trojan:MSIL / Solorigate.BR!dha”。
Microsoft還建議將所有運行SolarWinds軟體的
伺服器與其他環境隔離開來,並在重新使用之前徹底調查惡意軟體。
建議執行以下步驟:
*立即隔離受影響的設備。如果啟動了惡意程式,則設備很可能受到攻擊者的完全控制。
*確定受影響的設備上已使用的帳戶,並認為這些帳戶已被盜用。重置密碼或停用帳戶。
*調查受影響的端點可能是如何受到威脅的。
*使用受損帳戶之一調查設備時間軸以指示橫向運動活動。檢查攻擊者可能已放棄使用其他工具來啟用憑據訪問,橫向移動和其他攻擊活動。
有關SolarWinds供應鏈的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:
*****竣盟科技快報歡迎轉載,但請註明出處
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8
https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812
#情資才是王道