SolarWinds由于其服务器遭到黑客攻击而成为新闻。目前尚不清楚妥协可以追溯到多远。我从他们那里使用的唯一产品是他们的免费 TFTP 服务器。是否记录了妥协的“指纹”,以便确定特定下载是否受到影响?现在可以使用商业病毒/恶意软件扫描程序检测到受损文件吗?
AskOverflow.Dev
SolarWinds由于其服务器遭到黑客攻击而成为新闻。目前尚不清楚妥协可以追溯到多远。我从他们那里使用的唯一产品是他们的免费 TFTP 服务器。是否记录了妥协的“指纹”,以便确定特定下载是否受到影响?现在可以使用商业病毒/恶意软件扫描程序检测到受损文件吗?
SolarWinds 网络攻击是一次供应链攻击。民族国家威胁参与者获得了对 SolarWinds Orion 构建系统的访问权限,并为合法 Orion DLL 添加了后门,即
SolarWinds.Orion.Core.BusinessLayer.dll. 然后,该 DLL 通过用于推出新软件更新的自动更新平台分发给 SolarWinds 客户。此 DLL 由SolarWinds.BusinessLayerHost.exe. 免费的 SolarWinds TFTP Server 不使用此更新机制。迄今为止,SolarWinds 并未将免费 TFTP 服务器列为已泄露的服务器。有关详细信息,请参阅https://www.solarwinds.com/securityadvisory。
IOC 可以在https://github.com/sophos-cybersecurity/solarwinds-threathunt和其他地方找到。