IDC安全运维-利用SolarWinds漏洞进行网络攻击

用户下载更新时，对SolarWinds的漏洞进行网络攻击(微软公司称为Solorigate，Fireeye公司称为Sunburst)。

事实证明，SolarWinds公司建议其用户从反恶意软件检测中排除该更新过程。SolarWinds Orion工具帮助用户监控网络。该系统的缺陷使攻击者能够访问整个网络基础设施。

该恶意软件通过使用网络攻击者购买的合法域建立的通信服务器与其厂家进行通信，这些合法域已经存在一段时间。这样，就可以逃避安全防护系统，以寻找已知恶意站点或全新域的可疑流量。

FireEye公司在调查报告书中指出:经过长达2周的休眠期结束后，它会检索并执行命令。其中包括传输文件和执行文件，配置系统文件，重新启动计算机和禁止系统服务的功能。

该恶意软件将其活动伪装成合法的Orion改进程序流量，并将其侦察结果存储在合法的插件配置文件中。还使用模糊的黑名单来识别反病毒等安全工具。

然后，网络攻击者伪造身份安全令牌，让他们可以冒充任何用户或账号，包括特权账号，让他们绕开Office365等服务的多因素身份验证，从供应商进入内部部署和电子邮件账号。

网络攻击者为了访问更多的系统，使用其访问权限渗透现有用户帐户或创建新帐户。