CISA发布检测Solarwinds恶意活动的新工具
2021-03-22 14:32:18 Author: www.freebuf.com(查看原文) 阅读量:150 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国CISA(美国网络安全与基础设施安全局)发布了一个新工具,该工具可以在受威胁的企业内部环境中检测是否含有与SolarWinds黑客有关的恶意活动。

1616391007_60582b5f33b3c5383046e.png!small

CISA发布的CISA Hunt and Incident Response Program(CHIRP)工具,是一个基于Python的取证收集工具,旨在帮助企业找到与下列CISA警报中详述的活动有关的威胁情报(IOCs):

AA20-352A:针对政府机构、关键基础设施和私营部门组织的高级持续威胁,主要关注高级持续性威胁(APT)黑客对影响美国政府机构、关键基础设施实体和私营网络组织的SolarWinds Orion产品的攻击。

AA21-008A:检测在 Microsoft 云环境中遭APT攻击后的威胁活动,该警报针对 Microsoft 365/Azure 环境中的 APT 活动,并对可用的开源工具进行了概述和指导。该警报包括CISA开发的Sparrow工具,该工具可帮助企业检测Azure/M365环境中可能受到损害的帐户和应用程序。

这两个警报都与针对政府机构、关键基础设施和私营部门组织的SolarWinds攻击有关。

这并不是CISA发布的第一个检测工具。上文提及的Sparrow工具就是在今年年初,由该机构的云取证团队基于PowerShell的工具所发布的一个工具。

与Sparrow相似,CHIRP也可以在企业内部环境中检测APT活动的迹象。在默认情况下,它会搜索与AA20-352A和AA21-008A警报中描述的恶意活动相关的威胁情报。

CHIRP工具允许检查Windows事件日志中与此活动相关的工件;检查Windows注册表来寻找入侵证据;查询Windows网络工件;应用YARA规则来检测恶意软件、后门或植入物。

Github对该工具的描述显示,CHIRP是一个为了动态查询主机上的威胁情报而被创建的工具,它会以JSON格式输出数据,以便在SIEM或其它工具中进行进一步分析。并且,CHIRP不会修改任何系统的护具。

目前,该工具可以扫描:

是否存在被安全研究人员识别为TEARDROP和RAINDROP的恶意软件

凭证转储凭证拉取

确定与此活动有关的某些持久性机制

系统、网络和M365枚举

已知可观察到的横向移动指标。

工具地址:点击链接获取

来源:securityaffairs


文章来源: https://www.freebuf.com/news/267009.html
如有侵权请联系:admin#unsafe.sh