US Business News

Film FireEye, GoDaddy, dan Microsoft SolarWinds SUNBURST ‘killswitch’ – Keamanan

Film FireEye, GoDaddy, dan Microsoft SolarWinds SUNBURST 'killswitch' - Keamanan

[ad_1]

Vendor keamanan FireEye, Microsoft, dan pencatat domain GoDaddy telah mengaktifkan “killswitch” untuk malware SUNBURST yang disebarkan oleh peretas Rusia yang dicurigai dalam serangan rantai pasokan global.

Analisis teknis FireEye terhadap instance malware SUNBURST menunjukkan bahwa mereka memiliki algoritma generasi domain (DGA) untuk menentukan server perintah dan kontrol mana yang harus dihubungi program.

DGA membuat nama host yang menetapkan ke subdomain avsvmcloud.com.

Jika malware mendeteksi bahwa sistem nama domain catatan A menyelesaikan alamat protokol internet RFC 1918 yang digunakan untuk jaringan area lokal, atau empat blok alamat yang dapat dirutekan lainnya, SUNBURST akan berhenti dengan sendirinya.

Salah satu blok alamat IP yang diperiksa malware adalah 20.140.0.0/15 yang ditugaskan ke Microsoft.

GoDaddy, FireEye, dan Microsoft kini telah mengonfigurasi rekam A untuk avsvmcloud.com untuk menyelesaikan ke 20.140.0.1, yang menyebabkan malware menonaktifkan dirinya sendiri dan mencegah eksekusi lebih lanjut.

Dalam sebuah pernyataan, FireEye memperingatkan bahwa killswitch hanya akan menonaktifkan penyebaran SUNBURST yang terhubung ke avsvmcloud.com dan tidak menghapus penyerang dari jaringan korban.

FireEye mengatakan telah melihat penyusup dengan cepat membuat mekanisme persisten tambahan untuk mengakses jaringan korban, selain menggunakan pintu belakang SUNBURST.

SUNBURST adalah versi trojan dari plugin manajemen jaringan Orion yang digunakan untuk mengganggu sekitar 18.000 pelanggan selama hampir sembilan bulan dengan melanggar server pembaruan SolarWinds dan meletakkan perangkat lunak berbahaya di dalamnya.

Produk SolarWinds digunakan oleh pemerintah Amerika Serikat dan Inggris, dan sebagian besar perusahaan Fortune 500 AS.

Author : Toto SGP