SolarWinds サプライ チェーンの APT 攻撃をワンクリックでトラブルシューティングする方法

SolarWindsサプライ チェーン APT 攻撃事件が明らかになりました

最近、SolarWinds サプライ チェーン APT 攻撃事件が業界の注目を集めています。 SolarWinds は、2019.4 HF5 から 2020.2.1 までの SolarWinds Orion プラットフォームの影響を受けるバージョンとその関連パッチ パッケージに、非常に複雑なバックドア動作を伴う悪意のあるコードが存在すると正式に発表しました。

バックドアには、ファイルの転送、ファイルの実行、システムの分析、マシンの再起動、システム サービスの無効化を行う機能が含まれており、汚染されたパッケージをインストールしたユーザーはデータ漏洩の危険にさらされると報告されています。

モジュールには SolarWinds デジタル署名証明書が含まれているため、ウイルス対策ソフトウェアのホワイトリスト効果があり、隠蔽性が高く、検出が難しく、大きな被害をもたらします。

ワンクリック アクセス、緊急トラブルシューティング

対策:エクスポート トラフィックを監視して、avsvmcloud.com への要求パケットがあるかどうかを確認します。ドメイン名がある場合は、ホストを調査します。

Anheng Cloud DNS Threat Response Cloud Gateway は、ユーザーがネットワーク動作検出を通じて SolarWinds の脆弱性をタイムリーに発見できるように支援します。この脆弱性のネットワーク動作の特徴は、企業のすべてのデバイスの DNS クエリ トラフィックが監視され、solarwinds の脆弱性に関連する avsvmcloud.com ドメイン名が検出される限り、感染したホストが avsvmcloud.com ドメイン名をクエリすることです。感染元を追跡できるため、最小限のコストでできるだけ早く感染ホストを検出・特定し、ホストの調査を行うことができます。

スキャン

QR コードをスキャンするか、次の URL を開きます:

http://dns.anhengcloud.com (クリックして元のテキストを読みます)

二天

現在のネットワーク環境の出口 IP (パブリック ネットワーク IP) を追加し、スタンドアロン DNS 構成または DNS を設定します。サーバーのネクストホップ DNS Threat Response Cloud Gateway の DNS ノード 121.36.198.132 または 119.3.159.107 を指します。追加が完了すると、現在のネットワークを保護および監視できます。

出口 IP を追加すると、グローバルに有効になるデフォルト ポリシーが作成されます。ユーザーはカスタム ポリシーを追加し、検出する悪意のあるドメイン名の種類と保護を選択できます。ドメイン名のブラック/ホワイト リスト。

3 つのチェック

保護結果統計モジュールは、IP、イベント、およびドメイン名の次元からアラーム ステータスを表示でき、指定された条件下でのログ クエリも表示できます。

以上がSolarWinds サプライ チェーンの APT 攻撃をワンクリックでトラブルシューティングする方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。