针对SolarWinds的高级网络攻击：发生了什么以及现在该怎么办

上周末，我们进一步了解了这起复杂的袭击事件，这起袭击危及了安全公司fireye、美国财政部和商务部，可能还有更多的潜在的受害者。

攻击者入侵了IT公司SolarWinds，利用其软件渠道向该公司的18000个Orion平台客户发布恶意更新。这种情况被称为供应链攻击，因为它依赖于已经被信任并且可以立即广泛发布的软件，因此基本上是最隐蔽和最难检测的。

美国国土安全部发布了一项紧急指令，要求所有联邦机构立即采取措施，将受影响的SolarWinds Orion产品下线，并在周一之前将所有相关信息上报。

我们知道，尽管此事件有助于揭露这个具有深远影响的高级攻击，但与安全公司FireEye窃取的攻击性工具相比，攻击者希望获得的是更多有价值的东西。由于这个攻击活动仍在继续发展，我们将随时向客户通报任何新进展。

呼吁采取行动

立即隔离运行2020年3月至2020年6月发布的运行Orion平台版本HF 5 2019.4至2020.2.1的所有系统。
使用Malwarebytes扫描您的电脑，看看是否有任何检测到的东西，尤其是Backdoor.Sunburst和Backdoor.WebShell。
使用此博客结尾处的IOC，在日志、遥测和其他SIEM数据中进行搜索，以提供时间线透视图来分析任何潜在的入侵。执行全面的安全扫描，以检查和强化您的物理和云基础架构。
如果您已经充分做到了前面几点，请升级到Orion Platform版本2020.2.1 HF 2并还原系统。

更多内容

本文翻译自：

https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/

当前题目：针对SolarWinds的高级网络攻击：发生了什么以及现在该怎么办
文章转载：http://gydahua.com/article/ccdseds.html

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流

行业动态