[图]深入调查SolarWinds黑客事件 微软已查封一个核心服务器

在 2020 年 3-6 月期间，SolarWinds Orion 更新了 2019.4 到 202.2.1 版本，其中均包含名为 SUNBURST（也称为Solorigate）的恶意软件。一旦安装在计算机上，该恶意软件会休眠 12-14 天，然后ping avsvmcloud[.]com 的一个子域。

根据安全公司FireEye的分析，C&C域名会回复一个包含CNAME字段的DNS响应，其中包含另一个域名的信息，SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷，以便在受感染公司的网络上执行。

今天早些时候，一个科技公司联盟查封并下架了avsvmcloud[.]com，将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 "保护性工作"，目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。

本文素材来自互联网