深入调查SolarWinds黑客事件 微软已查封一个核心服务器
援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ,微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com,作为恶意软件的命令和控制(C&C)服务器,通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。在 2020 年 3-6 月期间,SolarWinds Orion 更新了 2019.4 到 202.2.1 版本,其中均包含名为 SUNBURST(也称为Solorigate)的恶意软件。一旦安装在计算机上,该恶意软件会休眠 12-14 天,然后ping avsvmcloud[.]com 的一个子域。
根据安全公司FireEye的分析,C&C域名会回复一个包含CNAME字段的DNS响应,其中包含另一个域名的信息,SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷,以便在受感染公司的网络上执行。
今天早些时候,一个科技公司联盟查封并下架了avsvmcloud[.]com,将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 "保护性工作",目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文