FireEye、微軟與 GoDaddy 合力對抗 SolarWinds 後門攻擊

• 發布日期：109-12-31
• 發布單位：刑事警察大隊

參考網站：
FireEye、微軟與 GoDaddy 合力對抗 SolarWinds 後門攻擊
https://www.twcert.org.tw/tw/cp-104-4241-718ed-1.html

為對抗近來造成嚴重衝擊的 SolarWinds 後門攻擊行動「Sunburst」，FireEye、微軟與 GoDaddy 共同成立聯合行動組織，依各公司的不同專長，一同對抗該攻擊行動，避免其惡意軟體持續蔓延。

據專業資安媒體 BleepingComputer 報導指出，FireEye 在日前公布了一份關於 Sunburst 攻擊行動的分析報告，報告中明確列出 Sunburst 如何利用供應鏈攻擊手法進行惡意軟體的植入，以及其後門的運作方式；報告並指出 Sunburst 成立了一台控制伺服器，用以接受駭侵團體的指令，並控制受到木馬植入的受害設備。

該報告同時也列出了多個 IP 位址，一旦控制伺服器發現有來自這些 IP 的回傳資訊，就會立即停止來自這批 IP 裝置中惡意軟體的運作。

在 12 月 15 日，在域名商 GoDaddy 的協助下，該控制伺服器使用的網域名稱控制權被微軟取得，同時將其對應 IP 轉移到微軟控制的 IP；這使得微軟得以掌握控制伺服器與惡意軟體間的通訊，並且進行進一步的分析，同時阻止該惡意軟體的進一步感染。

不過 FireEye 也表示，此波攻擊行動幕後的 APT 駭侵團體 Cozy Bear，也很快針對防制行動做出因應，正在積極建置新的攻擊網路基礎建設，以繼續控制遭到植入木馬的受害系統。