cisa推出了针对solarwinds攻击的windows 10检查工具-凯发k8国际真人

387db70803334b2

随着组织继续摆脱影响了30,000多家企业和机构的漏洞的利用,美国当局正在寻找帮助的方法。继使用microsoft工具来减轻solarigate恶意软件之后,美国网络安全和基础架构安全局()发布了自己的工具。

组织可以在本地情况下使用命令行工具来扫描系统,以了解solarigate的活动。它将找到针对应用程序的攻击实例。该工具称为搜寻和事件响应程序(chirp),现在可以使用:

cisa在警报中说: “ chirp会在本地环境中扫描apt危害的迹象。”

支持chirp是一种查找针对eh solarwinds orion应用程序的攻击实例的方法。这是成千上万的组织使用的流行网络工具。正是后门漏洞导致了solarigate危机。

如前所述,该工具采用了与微软上个月发布的sparrow程序类似的方法,该程序用于检测azure和microsoft 365上的solarigate活动。cisa表示chirp最适合​​用于windows事件日志和平台注册表中。

cisa建议组织使用chirp来:

  • “检查windows事件日志中是否有与此活动相关的工件;
  • 检查windows注册表是否存在入侵证据;
  • 查询windows网络工件;和
  • 应用yara规则检测恶意软件,后门或植入程序。

网络防御者应检查并确认该工具检测到的任何威胁后威胁活动。cisa为chirp发布中包含的每个ioc和yara规则提供了置信度得分。对于已确认的肯定命中,cisa建议收集有关系统的法医图像并对该系统进行法医分析。”

持续的利用

与solarwinds相关的攻击已感染了包括政府机构在内的18,000个组织。12月,网络安全和基础结构安全局(cisa)首次推出了powershell工具,以帮助microsoft 365客户减轻solarigate。微软最近确认, azure / microsoft 365凭据被盗,并且访问令牌是该漏洞的一部分。

未经允许不得转载:凯发k8国际真人 » cisa推出了针对solarwinds攻击的windows 10检查工具

网站地图