记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

深入调查SolarWinds黑客事件 微软已查封一个核心服务器

2020-12-17 08:47

深入调查SolarWinds黑客事件 微软已查封一个核心服务器



援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ,微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com,作为恶意软件的命令和控制(C&C)服务器,通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。在 2020 年 3-6 月期间,SolarWinds Orion 更新了 2019.4 到 202.2.1 版本,其中均包含名为 SUNBURST(也称为Solorigate)的恶意软件。一旦安装在计算机上,该恶意软件会休眠 12-14 天,然后ping avsvmcloud[.]com 的一个子域。

根据安全公司FireEye的分析,C&C域名会回复一个包含CNAME字段的DNS响应,其中包含另一个域名的信息,SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷,以便在受感染公司的网络上执行。

今天早些时候,一个科技公司联盟查封并下架了avsvmcloud[.]com,将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 "保护性工作",目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。

知识来源: https://www.t00ls.net/articles-58953.html

阅读:207556 | 评论:0 | 标签:黑客

想收藏或者和大家分享这篇好文章→复制链接地址

“深入调查SolarWinds黑客事件 微软已查封一个核心服务器”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁