微軟、FireEye與GoDaddy建立SolarWinds攻擊的銷毀開關

駭客集團於SolarWinds Orion Platform平台上植入Sunburst木馬程式，以進駐採用該平台的各大組織，而微軟、FireEye與GoDaddy已聯手打造該攻擊的銷毀開關（kill switch），強迫Sunburst自行中止行動。

駭客是在合法的SolarWinds函式庫中嵌入了惡意的SolarWinds.Orion.Core.BusinessLayer.dll（Sunburst），還讓該DLL檔案可與駭客所建立的C&C伺服器通訊。

根據資安部落客Brian Krebs與Bleeping Computer的報導，原本由駭客所掌控的C&C伺服器網域名稱為avsvmcloud[.]com，但該網域已被沒收並解析至微軟所持有的IP位址 20.140.0.1。

此舉一來可允許微軟捕獲惡意流量並分析受害者，二來取得駭客的C&C流量也能制止Sunburst的行為。FireEye僅簡單地向Bleeping Computer透露，在特定的情況下，Sunburst會終止自己的活動，而且適用於那些依然連結至avsvmcloud[.]com的Sunburst，不管是之前感染的Sunburst，或是新感染的Sunburst。

而Bleeping Computer則分析，若GoDaddy建立一個萬用DNS解析方案，把所有avsvmcloud[.]com的子網域都解析至20.140.0.1，再把20.140.0.1列入黑名單，那麼Sunburst可能就會終止自己的所有活動。

不過，FireEye亦提醒，此一銷毀開關只對Sunburst有用，假使組織網路已被入侵，駭客可能已植入了其它存取工具，仍然必須進行全面的清查。