SolarWinds 一直在新闻中由于他们的服务器遭到黑客攻击。目前尚不清楚此次入侵可以追溯到多久以前。我使用过的唯一产品是他们的免费 TFTP 服务器. 是否已记录入侵的“指纹”,以便确定特定下载是否受到影响?现在是否可以使用商业病毒/恶意软件扫描程序检测到被入侵的文件?
答案1
SolarWinds 网络攻击是一次供应链攻击。国家威胁行为者获得了对 SolarWinds Orion 构建系统的访问权限,并在合法的 Orion DLL(即)中添加了后门SolarWinds.Orion.Core.BusinessLayer.dll。然后,此 DLL 通过用于推出新软件更新的自动更新平台分发给 SolarWinds 客户。此 DLL 由 加载SolarWinds.BusinessLayerHost.exe。免费的 SolarWinds TFTP 服务器不使用此更新机制。
到目前为止,SolarWinds 尚未将免费 TFTP 服务器列为已入侵服务器。请参阅https://www.solarwinds.com/securityadvisory了解详细信息。
IOC 可在以下网址找到https://github.com/sophos-cybersecurity/solarwinds-threathunt以及其他地方。