摘要 微软已将其最新发现发布到SolarWinds攻击中,该攻击继续动摇全球网络安全行业。 到目前为止,这家技术公司已经能够概述攻击方法,恶意软件
微软已将其最新发现发布到SolarWinds攻击中,该攻击继续动摇全球网络安全行业。 到目前为止,这家技术公司已经能够概述攻击方法,恶意软件应变和缓解策略,但继续强调,网络攻击的全部范围仍然未知。
根据Microsoft的调查,由于与Orion基础结构管理平台关联的DLL文件被破坏,SolarWinds攻击得以发生。在此文件中插入恶意代码会为黑客创建后门,使他们可以随后进行动手键盘攻击。
“在许多行动中,攻击者都采取了措施保持低调,” Microsoft 365 Defender研究小组解释说。“例如,插入的恶意代码是轻量级的,仅具有在并行线程中运行添加了恶意软件的方法的任务,以使DLL的正常操作不会被更改或中断。此方法是类的一部分,攻击者将其命名为OrionImprovementBusinessLayer,与其他代码混合。该类包含所有后门功能,包括13个子类和16个方法,并且混淆了字符串以进一步隐藏恶意代码。”
在详细的博客文章中,Microsoft继续解释了DLL后门使攻击者可以传递第二阶段的有效负载。总的来说,这家技术巨头已经强调了几种影响SolarWinds平台的恶意软件。
上周爆发时,SolarWinds攻击引起了广泛的关注,受影响的人包括美国政府的高级机构。美国国务卿迈克·庞培(Mike Pompeo)最近出来支持指控指责俄罗斯进行网络攻击。
幸运的是,Microsoft Defender已经能够阻止恶意的SolarWinds DLL。即使该进程仍在运行,防病毒程序也会隔离相关的恶意软件。
