CISA釋出可偵測就地部署系統SolarWinds惡意活動的免費工具

美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）本周祭出了另一個可用來偵測SolarWinds惡意活動的工具：CISA Hunt and Incident Response Program（CHIRP），它與該署之前釋出的Sparrow作用類似，只是Sparrow是用來偵測Azure與Microsoft 365等雲端環境，而CHIRP則是適用於採用Windows的就地部署環境。

CHIRP可掃描Windows上的SolarWinds Orion或其它可能牽涉到遭駭客橫向移動的系統的入侵指標（Indicators of Compromise，IOC），因為即使SolarWinds用戶修補了Orion平臺上的漏洞，但駭客很可能在漏洞修補前便入侵了組織網路，且留下了惡意足跡。

因此，CHIRP會檢查Windows的事件紀錄與註冊表，查詢Windows網路的加工品，同時利用惡意程式特徵規則（YARA rule），來檢查是否藏有已被安全研究人員發現的Teardrop及Raindrop等惡意程式，或是任何已被入侵的跡象。

以CHIRP來掃描系統大約需要1~2小時，但確實執行時程將根據活動等級、系統資源與資料集的規模而定。曾採用受感染Orion平臺的組織可自GitHub下載Sparrow或CHIRP。