官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
美国CISA(美国网络安全与基础设施安全局)发布了一个新工具,该工具可以在受威胁的企业内部环境中检测是否含有与SolarWinds黑客有关的恶意活动。
CISA发布的CISA Hunt and Incident Response Program(CHIRP)工具,是一个基于Python的取证收集工具,旨在帮助企业找到与下列CISA警报中详述的活动有关的威胁情报(IOCs):
AA20-352A:针对政府机构、关键基础设施和私营部门组织的高级持续威胁,主要关注高级持续性威胁(APT)黑客对影响美国政府机构、关键基础设施实体和私营网络组织的SolarWinds Orion产品的攻击。
AA21-008A:检测在 Microsoft 云环境中遭APT攻击后的威胁活动,该警报针对 Microsoft 365/Azure 环境中的 APT 活动,并对可用的开源工具进行了概述和指导。该警报包括CISA开发的Sparrow工具,该工具可帮助企业检测Azure/M365环境中可能受到损害的帐户和应用程序。
这两个警报都与针对政府机构、关键基础设施和私营部门组织的SolarWinds攻击有关。
这并不是CISA发布的第一个检测工具。上文提及的Sparrow工具就是在今年年初,由该机构的云取证团队基于PowerShell的工具所发布的一个工具。
与Sparrow相似,CHIRP也可以在企业内部环境中检测APT活动的迹象。在默认情况下,它会搜索与AA20-352A和AA21-008A警报中描述的恶意活动相关的威胁情报。
CHIRP工具允许检查Windows事件日志中与此活动相关的工件;检查Windows注册表来寻找入侵证据;查询Windows网络工件;应用YARA规则来检测恶意软件、后门或植入物。
Github对该工具的描述显示,CHIRP是一个为了动态查询主机上的威胁情报而被创建的工具,它会以JSON格式输出数据,以便在SIEM或其它工具中进行进一步分析。并且,CHIRP不会修改任何系统的护具。
目前,该工具可以扫描:
是否存在被安全研究人员识别为TEARDROP和RAINDROP的恶意软件
凭证转储凭证拉取
确定与此活动有关的某些持久性机制
系统、网络和M365枚举
已知可观察到的横向移动指标。
工具地址:点击链接获取