針對SolarWinds的高級網路攻擊:發生了什麼以及現在該怎麼辦
上周末,我們進一步了解了這起複雜的襲擊事件,這起襲擊危及了安全公司fireye、美國財政部和商務部,可能還有更多的潛在的受害者。
攻擊者入侵了IT公司SolarWinds,利用其軟體渠道向該公司的18000個Orion平台客戶發布惡意更新。這種情況被稱為供應鏈攻擊,因為它依賴於已經被信任並且可以立即廣泛發布的軟體,因此基本上是最隱蔽和最難檢測的。
美國國土安全部發布了一項緊急指令,要求所有聯邦機構立即採取措施,將受影響的SolarWinds Orion產品下線,並在周一之前將所有相關信息上報。
我們知道,儘管此事件有助於揭露這個具有深遠影響的高級攻擊,但與安全公司FireEye竊取的攻擊性工具相比,攻擊者希望獲得的是更多有價值的東西。由於這個攻擊活動仍在繼續發展,我們將隨時向客戶通報任何新進展。
呼籲採取行動
·立即隔離運行2020年3月至2020年6月發布的運行Orion平台版本HF 5 2019.4至2020.2.1的所有系統。
·使用Malwarebytes掃描您的電腦,看看是否有任何檢測到的東西,尤其是Backdoor.Sunburst和Backdoor.WebShell。
·使用此博客結尾處的IOC,在日誌、遙測和其他SIEM數據中進行搜索,以提供時間線透視圖來分析任何潛在的入侵。
·執行全面的安全掃描,以檢查和強化您的物理和雲基礎架構。
·如果您已經充分做到了前面幾點,請升級到Orion Platform版本2020.2.1 HF 2並還原系統。
更多內容
·SolarWinds:SolarWinds安全諮詢
·FireEye:高度逃避的攻擊者通過SUNWINRST後門利用SolarWinds供應鏈來攻擊多個全球範圍內的受害者
·微軟:最近關於網路攻擊的客戶指南
·風險:Dark Halo利用SolarWinds破壞組織
·CISA:政府機構,關鍵基礎設施和私營部門組織的高級持續威脅折衷方案
參考及來源:https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/
