IDC安全運維-利用SolarWinds漏洞進行網絡攻擊

用戶下📖載更新時，對SolarWinds的漏洞進行網絡攻擊(微軟公司稱為Solorigate，Fireeye公司稱為Sunburst)。

事實證明，SolarWinds𓆉公司建議其用戶從反惡意軟件檢測中排除該更新過程。SolarWinds Orion工具🐬幫助用戶監控網絡。該系統的缺陷使攻擊者能夠訪問整個網絡基礎設施。

該惡意軟件通過使用網絡攻擊者購買的合法域建立的通信服務器與其廠家進行通信，這些合法域已經存在一段時間。這樣，就可🌠以逃避安全防護系統，以尋找已ඣ知惡意站點或全新域的可疑流量。

FireEye公司在調查報告書中指出:經過長達2周的休眠期結束后，它會檢索并執行命令。其中包括傳輸文件和執行文件，配置系統文件，♍重新啟動計算機和禁止系統服務的功能。

該惡意軟件將其活動偽裝成合法的Orion改進程序流量，并將其偵察結果存儲在合法的插件配置文件中。還使🍸用模糊的黑名單來識別反病毒等安全工具。

然后，網絡攻擊者偽造身份安全令牌，讓他們可以冒充任何用戶或賬號，包括特權賬號，讓他們繞開Office365等服務的多因♓素身份驗證，從供應商進入內部部署和電子郵件賬號。

網絡攻擊者為了訪問更多的系統，使用其訪問權限滲透現有用戶帳戶或創建新帳戶。