SolarWinds供應鏈APT攻擊事件被爆出
近日,solarwinds供應鏈apt攻擊事件引起了業界的關注。solarwinds官方發布公告稱,在solarwinds orion platform的2019.4 hf5到2020.2.1及其相關補丁包的受影響版本中,存在高度復雜后門行為的惡意代碼。
據悉該后門包含傳輸文件、執行文件、分析系統、重啟機器和禁用系統服務的能力,從而導致安裝了污染包的用戶可能存在數據泄露的風險。
由于模塊具有SolarWinds數字簽名證書,針對殺毒軟件有白名單效果,隱蔽性很高,難以排查且危害巨大。
一鍵接入,緊急排查
應對策略:監控出口流量是否存在對avsvmcloud.com域名的請求包,如果存在要針對主機展開排查。
安恒云DNS威脅響應云網關可以幫助用戶通過網絡行為檢測及時發現SolarWinds漏洞。該漏洞的網絡行為特征表現為中招主機查詢avsvmcloud.com域名,只要監控企業所有設備的DNS查詢流量,對solarwinds漏洞相關的avsvmcloud.com域名進行檢測及溯源,就能夠以最快的速度、最低的成本檢出并定位中招主機,對主機展開排查。
一掃
掃描二維碼或打開:
http://dns.anhengcloud.com(可點擊閱讀原文)
二添
添加當前網絡環境出口IP(公網IP),并將單機DNS配置或DNS服務器下一跳指向DNS威脅響應云網關的DNS節點121.36.198.132或者119.3.159.107,完成添加后即可對當前網絡進行防護和監測。
添加出口IP后,有一個默認策略對全局生效,用戶可添加自定策略,選擇需要檢測的惡意域名類型及防護強度,同時可自定義域名黑白名單。
三查
防護結果統計模塊可從IP、事件和域名維度查看告警情況,也可查看指定條件的日志查詢。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
