Fireeye,Godaddy和Microsoft Flick Solarwinds Sunburst'ParkS
2020-12-17
安全供应商Fireeye,Microsoft和Domain Registrar Godaddy在全球供应链攻击中启用了Sunburst恶意软件的“杀戮行政”。 Fireeye对森伯斯特恶魔软件实例的技术分析表明它们具有域生成算法(DGA),

安全供应商Fireeye,Microsoft和Domain Registrar Godaddy在全球供应链攻击中启用了Sunburst恶意软件的“杀戮行政”。

Fireeye对森伯斯特恶魔软件实例的技术分析表明它们具有域生成算法(DGA),以确定程序应联系的哪个命令和控制服务器。

DGA创建一个主机名,该主机名解析为AVSVMCLoud.com的子域。

如果恶意软件检测到域名系统记录将记录解析为用于局域网的RFC 1918 Internet协议地址,或者森伯斯特将终止四个用于局域网的RFC 1918 Internet协议地址,或者将终止其自身。

其中一个IP地址块恶意软件检查是分配的20.140.0.0/15到微软一个声明,Fireeye警告说,KillSwitch只会禁用连接到AVSVMCLoud.com的森伯斯特部署,而不是从受害者网络中删除攻击者。

Fireeye表示已经看到入侵者迅速建立额外的持久机制来获得受害者除了使用森伯斯特后门之外的网络。在它。