深入調查SolarWinds黑客事件 微軟已查封一個核心服務器

cnBeta

優質創作者

在 2020 年 3-6 月期間，SolarWinds Orion 更新了 2019.4 到 202.2.1 版本，其中均包含名為 SUNBURST（也稱為Solorigate）的惡意軟件。一旦安裝在計算機上，該惡意軟件會休眠 12-14 天，然後ping avsvmcloud<.>com 的一個子域。

根據安全公司FireEye的分析，C&C域名會回複一個包含CNAME字段的DNS響應，其中包含另一個域名的信息，SUNBURST惡意軟件會從那裏獲得進一步的指令和額外的有效載荷，以便在受感染公司的網絡上執行。

今天早些時候，一個科技公司聯盟查封並下架了avsvmcloud<.>com，將該域名轉入微軟所有。熟悉今天行動的消息人士將此次查封描述為 "保護性工作"，目的是防止 SolarWinds 黑客背後的威脅行為者向受感染的計算機交付新的訂單。