杀招|一键接入排查SolarWinds供应链APT攻击
字数 834 2025-08-15 21:33:10

SolarWinds供应链APT攻击事件分析与防护指南

事件概述

2020年12月,SolarWinds供应链APT攻击事件被披露,这是一起高度复杂的网络安全事件。攻击者通过植入恶意代码到SolarWinds Orion Platform软件中实施攻击。

受影响版本

  • SolarWinds Orion Platform 2019.4 HF5
  • 2020.2.1及其相关补丁包

攻击特征分析

恶意代码能力

  1. 传输文件
  2. 执行文件
  3. 分析系统
  4. 重启机器
  5. 禁用系统服务

隐蔽性特点

  • 恶意模块具有SolarWinds数字签名证书
  • 对杀毒软件有白名单效果
  • 难以通过传统方式检测

网络行为特征

关键指标:中招主机会查询avsvmcloud.com域名

安恒云解决方案

DNS威胁响应云网关

部署步骤

  1. 扫描:访问http://dns.anhengcloud.com
  2. 添加配置
    • 添加当前网络环境出口IP(公网IP)
    • 将DNS配置指向以下节点之一:
      • 121.36.198.132
      • 119.3.159.107
  3. 策略配置
    • 默认策略对全局生效
    • 可添加自定义策略:
      • 选择检测的恶意域名类型
      • 设置防护强度
      • 自定义域名黑白名单
  4. 结果查看
    • 从IP、事件和域名维度查看告警
    • 支持指定条件的日志查询

安恒EDR解决方案

核心功能

  1. 威胁检测
    • 捕获终端进程及DNS解析信息
    • 结合云端威胁情报进行研判
  2. 主动防御
    • 识别中招主机
    • 封堵恶意回连IP
  3. 后续加固
    • 全面风险评估
    • 多层次安全加固

防护流程

  1. 检测恶意IP、域名
  2. 识别中招主机
  3. 阻断持久化远控
  4. 系统加固

辅助解决方案

  1. 400安全运营中心:操作问题咨询400-6059-110转2
  2. 网络安全保险
    • 覆盖APT攻击损失
    • 赔付赎金、处理、加固等费用

总结

SolarWinds供应链攻击具有高度隐蔽性和破坏性,建议企业:

  1. 立即检查是否使用受影响版本
  2. 监控avsvmcloud.com域名查询
  3. 考虑部署专业防护方案
  4. 建立应急响应机制
SolarWinds供应链APT攻击事件分析与防护指南 事件概述 2020年12月,SolarWinds供应链APT攻击事件被披露,这是一起高度复杂的网络安全事件。攻击者通过植入恶意代码到SolarWinds Orion Platform软件中实施攻击。 受影响版本 SolarWinds Orion Platform 2019.4 HF5 2020.2.1及其相关补丁包 攻击特征分析 恶意代码能力 传输文件 执行文件 分析系统 重启机器 禁用系统服务 隐蔽性特点 恶意模块具有SolarWinds数字签名证书 对杀毒软件有白名单效果 难以通过传统方式检测 网络行为特征 关键指标 :中招主机会查询 avsvmcloud.com 域名 安恒云解决方案 DNS威胁响应云网关 部署步骤 扫描 :访问 http://dns.anhengcloud.com 添加配置 : 添加当前网络环境出口IP(公网IP) 将DNS配置指向以下节点之一: 121.36.198.132 119.3.159.107 策略配置 : 默认策略对全局生效 可添加自定义策略: 选择检测的恶意域名类型 设置防护强度 自定义域名黑白名单 结果查看 : 从IP、事件和域名维度查看告警 支持指定条件的日志查询 安恒EDR解决方案 核心功能 威胁检测 : 捕获终端进程及DNS解析信息 结合云端威胁情报进行研判 主动防御 : 识别中招主机 封堵恶意回连IP 后续加固 : 全面风险评估 多层次安全加固 防护流程 检测恶意IP、域名 识别中招主机 阻断持久化远控 系统加固 辅助解决方案 400安全运营中心 :操作问题咨询400-6059-110转2 网络安全保险 : 覆盖APT攻击损失 赔付赎金、处理、加固等费用 总结 SolarWinds供应链攻击具有高度隐蔽性和破坏性,建议企业: 立即检查是否使用受影响版本 监控 avsvmcloud.com 域名查询 考虑部署专业防护方案 建立应急响应机制