随着组织继续摆脱影响了30,000多家企业和机构的漏洞的利用,美国当局正在寻找帮助的方法。继使用microsoft工具来减轻solarigate恶意软件之后,美国网络安全和基础架构安全局()发布了自己的工具。
组织可以在本地情况下使用命令行工具来扫描系统,以了解solarigate的活动。它将找到针对应用程序的攻击实例。该工具称为搜寻和事件响应程序(chirp),现在可以使用:
cisa在警报中说: “ chirp会在本地环境中扫描apt危害的迹象。”
支持chirp是一种查找针对eh solarwinds orion应用程序的攻击实例的方法。这是成千上万的组织使用的流行网络工具。正是后门漏洞导致了solarigate危机。
如前所述,该工具采用了与微软上个月发布的sparrow程序类似的方法,该程序用于检测azure和microsoft 365上的solarigate活动。cisa表示chirp最适合用于windows事件日志和平台注册表中。
cisa建议组织使用chirp来:
- “检查windows事件日志中是否有与此活动相关的工件;
- 检查windows注册表是否存在入侵证据;
- 查询windows网络工件;和
- 应用yara规则检测恶意软件,后门或植入程序。
网络防御者应检查并确认该工具检测到的任何威胁后威胁活动。cisa为chirp发布中包含的每个ioc和yara规则提供了置信度得分。对于已确认的肯定命中,cisa建议收集有关系统的法医图像并对该系统进行法医分析。”
持续的利用
与solarwinds相关的攻击已感染了包括政府机构在内的18,000个组织。12月,网络安全和基础结构安全局(cisa)首次推出了powershell工具,以帮助microsoft 365客户减轻solarigate。微软最近确认, azure / microsoft 365凭据被盗,并且访问令牌是该漏洞的一部分。
未经允许不得转载:尊龙游戏旗舰厅官网 » cisa推出了针对solarwinds攻击的windows 10检查工具
