亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

大多數(shù)互聯(lián)網(wǎng)和科技公司的遠(yuǎn)大理想或者美好愿景之一，就是經(jīng)過一番血腥的征戰(zhàn)廝殺，成為一條自己曾經(jīng)“討厭”的惡龍。

但是比成為惡龍更加可怕的是，惡龍變成了毒龍。

完美風(fēng)暴

在兩個月前的一次分析師電話會議中，SolarWinds首席執(zhí)行官凱文·湯普森（KevinThompson）沾沾自喜地回顧了自己掌舵11年以來，公司業(yè)績?nèi)绾握粽羧丈希瑱M掃全球。

湯普森告訴分析師：“這個世界上沒有SolarWinds不能監(jiān)控和管理的數(shù)據(jù)庫或者IT系統(tǒng)。我們認(rèn)為，就覆蓋的廣度而言，市場上沒有任何競爭對手能夠?qū)ξ覀儤?gòu)成威脅，我們管理每個人的網(wǎng)絡(luò)設(shè)備。”

毫無疑問，在IT監(jiān)控和管理工具市場，SolarWinds這家盤踞在德克薩斯州奧斯丁的軟件企業(yè)已經(jīng)成長為一條“地表最強(qiáng)惡龍”。

但是，本周FireEye和微軟曝光的APT攻擊，把SolarWinds一夜之間從“惡龍”變成了“毒龍”。

本周一，SolarWinds證實(shí)，Orion——其旗艦網(wǎng)絡(luò)管理軟件——在不知不覺中充當(dāng)了一個龐大的國際網(wǎng)絡(luò)間諜活動的渠道。黑客將惡意代碼后門（SUNBURST,日爆攻擊）插入Orion軟件更新，并推送給包括美國關(guān)鍵基礎(chǔ)設(shè)施、軍隊和政府機(jī)構(gòu)在內(nèi)的全球1.8萬個客戶。

正所謂能力越大毒性越大，被黑客植入木馬的SolarWinds，讓美國財政部、商務(wù)部、五角大樓、白宮、NSA和九成以上的財富500強(qiáng)企業(yè)都陷入了極度恐慌，CISA在官方通報中使用了罕見的字眼：這種風(fēng)險（黑客通過SolarWinds木馬化軟件監(jiān)控美國政府和全球大型企業(yè)）已經(jīng)超出了容忍極限。

《華盛頓郵報》和《紐約時報》都點(diǎn)名俄羅斯黑客組織APT29是幕后黑手，路透社也援引三位知情人士的話指認(rèn)俄羅斯是頭號嫌疑人，不過其他熟悉調(diào)查的人表示，現(xiàn)在下結(jié)論還太早。

總部位于亞特蘭大的阿爾斯頓和伯德律師事務(wù)所網(wǎng)絡(luò)安全準(zhǔn)備和應(yīng)對團(tuán)隊的聯(lián)席主席金·佩雷蒂（Kim Peretti）表示，這些惡意更新在3月至6月之間推送，當(dāng)時美國正努力應(yīng)對第一波冠狀病毒感染——這是“一場完美風(fēng)暴的完美時機(jī)”。

金·佩雷蒂說：“現(xiàn)在評估損失是很困難的，可能要花費(fèi)好幾個月甚至更久，甚至，永遠(yuǎn)都不會知道真正的影響”。

對SolarWinds的影響則比較直接和直觀：

美國官員命令任何運(yùn)行Orion的企業(yè)和機(jī)構(gòu)立刻“拔網(wǎng)線”。SolarWinds的股價從上周五的23.50美元跌至周二的18.06美元，下跌超過23%。

與此同時，SolarWinds糟糕的網(wǎng)絡(luò)安全實(shí)踐也開始接受全面細(xì)致的審查。

“完美”獵物

很快，安全業(yè)界就發(fā)現(xiàn)SolarWinds簡直是一個“完美”的獵物。

據(jù)兩位研究人員稱，在此前未報道的調(diào)查中，多名罪犯通過地下論壇出售對SolarWinds設(shè)備的訪問。

網(wǎng)絡(luò)犯罪情報公司Intel471首席執(zhí)行官馬克·阿雷納透露，其中一人在2017年訪問過該漏洞利用論壇，此人正是FBI通緝的哈薩克斯坦黑客”fxmsp”，本世紀(jì)最危險的黑客之一。

安全研究員維諾斯·庫馬爾告訴路透社，去年他提醒公司，任何人都可以使用默認(rèn)密碼”Solarwinds123″訪問SolarWinds的更新服務(wù)器。

位于馬里蘭州的網(wǎng)絡(luò)安全公司獵人的聯(lián)合創(chuàng)始人凱爾·漢斯洛萬注意到，在SolarWinds意識到軟件被植入木馬后數(shù)天，SolarWinds官方站點(diǎn)仍然提供惡意更新下載。

如果說以上還可以用安全衛(wèi)生狀況糟糕來形容，那么一家德國報紙的發(fā)現(xiàn)則驚掉了專業(yè)人士的下巴：SolarWInds的一個產(chǎn)品支持頁面建議用戶禁止殺毒軟件掃描Orion的產(chǎn)品文件夾（下圖）。

網(wǎng)絡(luò)安全人士指出，這條建議相當(dāng)于公開向黑客發(fā)送邀請函。

卡巴斯基研究人員Costin Raiu指出：“有時有合理的理由將某些路徑列入白名單，例如使用具有雙重用途的某些遠(yuǎn)程訪問工具時。但是，將程序文件或公共文件中的文件夾列入掃描白名單或跳過這些文件夾是一種可怕的做法，尤其是當(dāng)這些文件屬于系統(tǒng)上運(yùn)行的，具有自更新功能的應(yīng)用程序。”

“終止開關(guān)”無法終止

SolarWinds本周三發(fā)布了更新的補(bǔ)丁版本，F(xiàn)ireEye也給出了緩解措施建議和Github檢測工具頁面。

本周四，F(xiàn)ireEye與微軟和GoDaddy合作完成了攻擊終止開關(guān)（Kill Switch），能夠阻斷已經(jīng)部署的SUNBURST后門與C2服務(wù)器之間的通信，從而緩解SUNBURST威脅。

FireEye發(fā)言人聲稱：“我們已經(jīng)發(fā)現(xiàn)了一個終止開關(guān)（Kill Switch），能夠阻止SUNBURST后門繼續(xù)運(yùn)行。如果命令控制服務(wù)器域名avsvmcloud.com的解析IP地址在以下范圍內(nèi)（列表如下），SUNBURST后門會自行終止不再運(yùn)行。”

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 224.0.0.0/3
• fc00::-fe00::
• fec0::-ffc0::
• ff00::-ff00::
• 20.140.0.0/15
• 96.31.172.0/24
• 131.228.12.0/22
• 144.86.226.0/24

昨天，微軟已經(jīng)接管了SUNBURST的命令控制服務(wù)器域名avsvmcloud.com，而GoDaddy也提供一種DNS解析服務(wù)，確保命令控制服務(wù)器域名的所有子域名都被解析到20.140.0.1.這個地址。但停止開關(guān)遠(yuǎn)非游戲終結(jié)者，因?yàn)橥Ｖ归_關(guān)只能阻止Sunburst，而攻擊者很可能已經(jīng)橫向移動了。

FireEye發(fā)言人說：“在FireEye看到的入侵中，攻擊者迅速采取了行動，建立了其他持久駐留機(jī)制來訪問Sunburst后門以外的受害網(wǎng)絡(luò)。這種終止開關(guān)不會影響到攻擊者在目標(biāo)網(wǎng)絡(luò)中建立的其他后門。”

Axonius安全總監(jiān)Daniel Trauner指出：“禁用任何運(yùn)行Orion后門版本的服務(wù)器并將這些主機(jī)與網(wǎng)絡(luò)斷開連接都是很明智的，但這遠(yuǎn)遠(yuǎn)不夠。組織應(yīng)立即調(diào)查駐留或橫向移動的證據(jù)，已經(jīng)打補(bǔ)丁的企業(yè)也需要這么做。”