圖片來源: 

CISA

美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)本周祭出了另一個可用來偵測SolarWinds惡意活動的工具:CISA Hunt and Incident Response Program(CHIRP),它與該署之前釋出的Sparrow作用類似,只是Sparrow是用來偵測Azure與Microsoft 365等雲端環境,而CHIRP則是適用於採用Windows的就地部署環境。

CHIRP可掃描Windows上的SolarWinds Orion或其它可能牽涉到遭駭客橫向移動的系統的入侵指標(Indicators of Compromise,IOC),因為即使SolarWinds用戶修補了Orion平臺上的漏洞,但駭客很可能在漏洞修補前便入侵了組織網路,且留下了惡意足跡。

因此,CHIRP會檢查Windows的事件紀錄與註冊表,查詢Windows網路的加工品,同時利用惡意程式特徵規則(YARA rule),來檢查是否藏有已被安全研究人員發現的Teardrop及Raindrop等惡意程式,或是任何已被入侵的跡象。

以CHIRP來掃描系統大約需要1~2小時,但確實執行時程將根據活動等級、系統資源與資料集的規模而定。曾採用受感染Orion平臺的組織可自GitHub下載SparrowCHIRP


熱門新聞

Advertisement