Microsoft выпустила бесплатный инструмент для удаления Solorigate из зараженных сетей

Пт 26 Февраль 2021 10:27

Компания Microsoft выпустила бесплатный инструмент, позволяющий организациям проверять свои сети на наличие вредоносного ПО Solorigate, использовавшегося в атаках SolarWinds.

Microsoft предлагает организациям запросы CodeQL, использовавшиеся ею для анализа своего исходного кода после обнаружения атаки на SolarWinds. CodeQL представляет собой инструмент из набора GitHub Advanced Security. Используемые Microsoft запросы удаляют код, имеющий сходство в шаблонах и функциях с двоичным файлом SolarWinds. Эти запросы могут использоваться в любом программном обеспечении для выявления признаков атаки SolarWinds.

В свою очередь, компания SecurityScorecard обнаружила , что одной из вредоносных программ, использовавшихся в атаках SolarWinds, является дроппер, загружающий вредоносное ПО только в память. Дроппер под названием Teardrop, профилирующий сетевую и системную среду жертвы, датируется 2017 годом и предположительно связан с российской киберпреступной группировкой, занимающейся кибершпионажем. Из этого следует, что Teardrop мог использоваться и в других APT-операциях, еще до атаки на SolarWinds.

Дроппер запускает Cobalt Strike BEACON – C&C-инструмент из набора с открытым исходным кодом Cobalt Strike, использовавшегося злоумышленниками, вероятнее всего, для сокрытия вредоносной активности.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 132 дня 12 часов 59 минут 43 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.