美国国土安全部旗下的网络安全暨基础架构安全局(CISA)本周祭出了另一个可用来侦测SolarWinds恶意活动的工具:CISA Hunt and Incident Response Program(CHIRP),它与该局之前发布的Sparrow作用类似,只是Sparrow是用来侦测Azure与Microsoft 365等云计算环境,而CHIRP则是适用于采用Windows的本地部署环境。
CHIRP可扫描Windows上的SolarWinds Orion或其它可能涉及到遭黑客横向移动的系统的入侵指标(Indicators of Compromise,IOC),因为即使SolarWinds用户修补了Orion平台上的漏洞,但黑客很可能在漏洞修补前便入侵了组织网络,且留下了恶意足迹。
因此,CHIRP会检查Windows的事件记录与注册表,查询Windows网络的加工品,同时利用恶意程序特征规则(YARA rule),来检查是否藏有已被安全研究人员发现的Teardrop及Raindrop等恶意程序,或是任何已被入侵的迹象。
以CHIRP来扫描系统大约需要1~2小时,但确实执行进程将根据活动等级、系统资源与资料集的规模而定。曾采用受感染Orion平台的组织可自GitHub下载Sparrow或CHIRP。