SolarWinds公司的Orion软件遭遇网络攻击 为啥难以发现
发布时间:2022-09-02 11:43:26 所属栏目:安全 来源:互联网
导读:根据行业媒体的报道,一个名为Cozy Bear的黑客组织日前对IT管理软件开发商SolarWinds公司的Orion软件进行了破坏性的网络攻击,从而获得了进入美国政府部门和其他组织IT系统的权限。而大多数部门和组织并没有为这种对软件供应链的网络攻击做好准备。 FireEye
|
根据行业媒体的报道,一个名为“Cozy Bear”的黑客组织日前对IT管理软件开发商SolarWinds公司的Orion软件进行了破坏性的网络攻击,从而获得了进入美国政府部门和其他组织IT系统的权限。而大多数部门和组织并没有为这种对软件供应链的网络攻击做好准备。 FireEye公司研究人员说:“防御者可以检查SMB会话的日志,以显示对合法目录的访问,并在很短的时间内遵循删除、创建、执行、创建的模式。此外,防御者可以使用频率分析来识别任务的异常修改,从而监视现有的计划任务以进行临时更新。还可以监视任务以监视执行新的或未知二进制文件的合法任务。” 这是FireEye公司所观察到的威胁参与者所展示的最好的操作安全性,它专注于检测规避和利用现有的信任关系。不过,该公司的研究人员认为,这些网络攻击可以通过持续防御进行检测,并在其咨询报告中描述了多种检测技术。 SolarWinds公司建议客户尽快升级到Orion Platform版本2020.2.1 HF 1,以确保他们正在运行产品的全新版本。该公司还计划发布一个新的修补程序2020.2.1 HF 2,它将替换受感染的组件并进一步增强安全性。 美国国土安全部还向政府组织发布了一项紧急指令,以检查其网络中是否存在木马组件并进行报告。 并没有有效的解决方案 对软件供应链的网络攻击并不是什么新事物,安全专家多年来一直警告说,这是最难防范的威胁之一,因为它们利用了供应商和客户之间的信任关系以及机器对机器的通信渠道,例如用户固有信任的软件更新机制。 早在2012年,研究人员发现Flame恶意软件的网络攻击者使用了针对MD5文件哈希协议的加密攻击,使他们的恶意软件看起来像是由Microsoft合法签名的,并通过Windows Update机制分发给目标。这并不是软件开发商本身(微软公司)遭到网络攻击,但是网络攻击者利用了Windows Update文件检查中的漏洞,证明可以充分利用软件更新机制。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号