關於SolarWinds受到感染,趨勢科技的建議
關於SolarWinds受到感染,趨勢科技的建議
影響範圍

據信,Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案,攻擊者將惡意程式碼插入了合法程式碼中,因此下載該軟體的人都可能受到威脅,但此流程發生於組建過程,原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出,從2020年3月至6月,有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中,它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

解決方案
  1. SolarWinds發出安全公告,建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本,並列出了適當的產品及其版本。
  2. 美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線,並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器,並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
  3. 趨勢科技產品:
  • 病毒碼更新至16.415.00版本,可偵測與該攻擊相關的惡意檔案為:
    • Backdoor.MSIL.SUNBURST.A
    • Trojan.MSIL.SUPERNOVA.A
  • 趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
  • 趨勢科技 Deep Security過濾規則:
    • 1010669 - Identified Malicious Domain – SolarWinds
    • 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
    • 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
  • 趨勢科技TippingPoint過濾規則:
    • 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
    • 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
  • 趨勢科技DDI 偵測規則:
    • 4491- SUNBURST - DNS (RESPONSE)