查看原文
其他

杀招|如何一键接入排查SolarWinds供应链APT攻击,操作都在这!

安恒云 安恒信息 2022-05-12


SolarWinds

供应链APT攻击事件被爆出

近日,SolarWinds供应链APT攻击事件引起了业界的关注。SolarWinds官方发布公告称,在SolarWinds Orion Platform的2019.4 HF5到2020.2.1及其相关补丁包的受影响版本中,存在高度复杂后门行为的恶意代码。

据悉该后门包含传输文件、执行文件、分析系统、重启机器和禁用系统服务的能力,从而导致安装了污染包的用户可能存在数据泄露的风险。

由于模块具有SolarWinds数字签名证书,针对杀毒软件有白名单效果,隐蔽性很高,难以排查且危害巨大。



安恒云

一键接入,紧急排查


安恒云应对策略:监控出口流量是否存在对avsvmcloud.com域名的请求包,如果存在要针对主机展开排查。


安恒云DNS威胁响应云网关可以帮助用户通过网络行为检测及时发现SolarWinds漏洞。该漏洞的网络行为特征表现为中招主机查询avsvmcloud.com域名,只要监控企业所有设备的DNS查询流量,对solarwinds漏洞相关的avsvmcloud.com域名进行检测及溯源,就能够以最快的速度、最低的成本检出并定位中招主机,对主机展开排查。


一扫

扫描二维码或打开:

http://dns.anhengcloud.com(可点击阅读原文)



二添

添加当前网络环境出口IP(公网IP),并将单机DNS配置或DNS服务器下一跳指向DNS威胁响应云网关的DNS节点121.36.198.132或者119.3.159.107,完成添加后即可对当前网络进行防护和监测。



添加出口IP后,有一个默认策略对全局生效,用户可添加自定策略,选择需要检测的恶意域名类型及防护强度,同时可自定义域名黑白名单。


三查

防护结果统计模块可从IP、事件和域名维度查看告警情况,也可查看指定条件的日志查询。




安恒EDR

镇守主机安全“最后一公里”


安恒EDR具备高效精准威胁检测以及威胁主动防御能力。通过在终端上安装代理可以天然捕获到终端上的进程及DNS解析信息,结合海量的云端威胁情报以及智能云端威胁研判,高效获取利用solarwinds漏洞的IP、域名等恶意信息,精准识别出当前solarwinds漏洞相关的中招主机,再结合EDR内核级的微隔离功能,直接对恶意回连IP进行封堵,阻断黑客的对失陷主机的持久化远控,拒威胁于“千里之外”。最后通过EDR对系统和网络进行全面、多层次的风险评估及安全加固,从根本上杜绝此类威胁事件的发生。



更多解决方案

#

400安全运营中心

如遇操作问题,请拔打400-6059-110转2

#

网络安全保险

用户还可购买网络安全保险,如再有APT攻击中招,赔付赎金、处理、加固等所有费用,彻底解决客户的后顾之忧。




往期精选


围观

三亚市人民政府和安恒信息达成战略合作 安全助力自贸易港标杆建设


热文

安全牛发布《2020网络安全态势感知应用指南》报告,安恒信息入围年度代表性厂商


热文

“优秀”的工业信息安全应用案例,是什么样?安恒信息给你答案


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存