针对SolarWinds的高级网络攻击:发生了什么以及现在该怎么办

2022-02-02 14:21:45

摘要:上周末,我们进一步了解了这起复杂的袭击事件,这起袭击危及了安全公司fireye、美国财政部和商务部,可能还有更多的潜在的受害者。

  上周末,我们进一步了解了这起复杂的袭击事件,这起袭击危及了安全公司fireye、美国财政部和商务部,可能还有更多的潜在的受害者。

  攻击者入侵了IT公司SolarWinds,利用其软件渠道向该公司的18000个Orion平台客户发布恶意更新。这种情况被称为供应链攻击,因为它依赖于已经被信任并且可以立即广泛发布的软件,因此基本上是最隐蔽和最难检测的。

租机房

  美国国土安全部发布了一项紧急指令,要求所有联邦机构立即采取措施,将受影响的SolarWinds Orion产品下线,并在周一之前将所有相关信息上报。

  我们知道,尽管此事件有助于揭露这个具有深远影响的高级攻击,但与安全公司FireEye窃取的攻击性工具相比,攻击者希望获得的是更多有价值的东西。由于这个攻击活动仍在继续发展,我们将随时向客户通报任何新进展。

  呼吁采取行动

  立即隔离运行2020年3月至2020年6月发布的运行Orion平台版本HF 5 2019.4至2020.2.1的所有系统。

  使用Malwarebytes扫描您的电脑,看看是否有任何检测到的东西,尤其是Backdoor.Sunburst和Backdoor.WebShell。

  使用此博客结尾处的IOC,在日志、遥测和其他SIEM数据中进行搜索,以提供时间线透视图来分析任何潜在的入侵。 执行全面的安全扫描,以检查和强化您的物理和云基础架构。

  如果您已经充分做到了前面几点,请升级到Orion Platform版本2020.2.1 HF 2并还原系统。

  更多内容

  SolarWinds:SolarWinds安全咨询

  FireEye:高度逃避的攻击者通过SUNWINRST后门利用SolarWinds供应链来攻击多个全球范围内的受害者

  微软:最近关于网络攻击的客户指南

  风险:Dark Halo利用SolarWinds破坏组织

  CISA:政府机构,关键基础设施和私营部门组织的高级持续威胁折衷方案

  (正文完)

  责任编辑:张华

_________________________________________________________________________________

推荐栏目:服务器租用 高防服务器 服务器托管 大带宽机柜 香港服务器

      跨数据中心专线 数据中心 增值服务 解决方案 主机租用 关键词检索

    内容有部分是原创文章,如转载请注明出处!

微信联系

电话
客服
地图
机房