FireEye，GoDaddy 和 Microsoft 合作為 SolarWinds 后門創建終止開關

微軟，FireEye和godaddy已合作,為最近solarwinds黑客攻擊中使用的Sunburst后門創建了一個終止開關。

上周，與俄羅斯有關的黑客入侵了SolarWinds，攻擊者使用了特洛伊木馬的SolarWinds Orion商業軟件更新來分發被跟蹤為SUNBURST（又名Solarigate（Microsoft））的后門。

該公司向該事件通知了大約33,000個Orion客戶，但它辯稱使用該產品的backboard版本的客戶可能不到18,000。

微軟與其他網絡安全公司合作，奪取了SolarWinds攻擊（avsvmcloud[.]com）中使用的主要域，以試圖識別所有受害者并防止其他系統受到惡意軟件的攻擊。

域 avsvmcloud[.]com 是后門的命令和控制（C＆C）服務器， 通過針對SolarWinds Orion應用程序的惡意更新將其交付給大約18,000個SolarWinds客戶。

作為受污染版本的SolarWinds Orion插件偽裝成Orion改進程序（OIP）協議的網絡流量，它通過HTTP與C2進行通信，以檢索和執行被稱為“作業”的惡意命令。后門支持多種功能，包括文件傳輸，執行文件，禁用系統服務以及收集系統信息。

攻擊者與受害者在同一國家/地區使用VPN服務器來混淆IP地址并逃避檢測。

根據FireEye的說法，如果C2服務器解析為以下范圍之一中的IP地址，則后門將終止并且永遠不會再次執行：

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 224.0.0.0/3
• fc00 :: – – fe00 ::
• fec0 :: – – ffc0 ::
• ff00 :: – – ff00 ::
• 20.140.0.0/15
• 96.31.172.0/24
• 131.228.12.0/22
• 144.86.226.0/24

如知名專家Brian Krebs首次報道的那樣，該信息使FireEye和Microsoft能夠為Sunburst后門創建一個終止開關。

“在某些情況下，取決于惡意軟件解析 avsvmcloud[.]com 時返回的IP地址，惡意軟件會自行終止并阻止進一步執行。FireEye與GoDaddy和Microsoft合作，以停用SUNBURST感染。” FireEye告訴Brian Krebs。
“此killswitch將通過禁用仍然是 avsvmcloud[.]com 的SUNBURST部署來影響新的和以前的SUNBURST感染。但是，在FireEye看到的入侵中，該參與者迅速采取了行動，以建立其他持久機制來訪問SUNBURST后門以外的受害網絡。”

GoDaddy創建了一個通配符DNS解析，該解析將 avsvmcloud [.] com 的任何子域解析為20.140.0.1，該子域由Microsoft控制。此IP地址包含在20.140.0.0/15范圍內，該范圍導致惡意軟件永久終止。

專家指出，終止開關只會終止Sunburst感染，但是威脅參與者在受感染機器上丟棄的其他有效負載可能仍會繼續工作。

“安全交換機研究人員透露了killswitch的消息，安全研究人員表示，他們在解碼SUNBURST模糊通信方法方面取得了進展。中國網絡安全公司 RedDrip Team在Github上發表了他們的發現 ，稱其解碼器工具已識別出將近100名可疑SolarWinds / Orion違規的受害者，包括大學，政府和高科技公司。” 克雷布斯總結道。