深入调查SolarWinds黑客事件 微软已查封一个核心服务器
援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ,微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com,作为恶意软件的命令和控制(C&C)服务器,通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。在 2020 年 3-6 月期间,SolarWinds Orion 更新了 2019.4 到 202.2.1 版本,其中均包含名为 SUNBURST(也称为Solorigate)的恶意软件。一旦安装在计算机上,该恶意软件会休眠 12-14 天,然后ping avsvmcloud[.]com 的一个子域。
根据安全公司FireEye的分析,C&C域名会回复一个包含CNAME字段的DNS响应,其中包含另一个域名的信息,SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷,以便在受感染公司的网络上执行。
今天早些时候,一个科技公司联盟查封并下架了avsvmcloud[.]com,将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 "保护性工作",目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。
