美国政府表示俄罗斯是SolarWinds骇客的幕后黑手。 特朗普恳求有所不同

微软对黑客行为的分析详细介绍了下一级DLL地狱。在可能的开发人员管道折衷之后

美国国务卿迈克·蓬佩奥（Mike Pompeo）将SolarWinds黑客行为归咎于俄罗斯，但他的老板恳求有所不同。

庞培上周五对亲特朗普保守派脱口秀主持人马克·莱文（Mark Levin）进行了采访，其谈话稿由国务院公布。

在采访中，莱文询问了SolarWinds事件。庞培回应说：“我认为现在是这样，我们可以很清楚地说出是俄罗斯人从事这项活动。”

唐纳德·特朗普总统以以下推文回应，这是他关于敌国可能会渗透到他领导的国家的许多政府机构的唯一公开评论。

....讨论可能是中国（可能！）的可能性。选举期间，我们可笑的投票机也可能受到打击，这很明显，我赢得了大奖，这使美国更加陷入尴尬的尴尬境地。 @DNI_Ratcliffe @SecPompeo

-唐纳德​​·J·特朗普（@realDonaldTrump）2020年12月19日

美联社报道说，白宫将在周五下午发表声明，称俄罗斯是事件背后的“主要角色”，但工作人员被告知要站下来。

在撰写本文时，国务院，国家安全局，白宫，网络安全和基础设施安全局以及特朗普总统似乎都没有试图调和政府在此事件上的矛盾观点。

微软是一个新的信息来源，该公司发表了一篇文章，说中毒的SolarWinds下载是经过数字签名的。

该类事实“表明攻击者能够访问公司的软件开发或分发管道”，一旦这样做，就将目标指向一个名为“ SolarWinds.Orion.Core.BusinessLayer.dll”的.dll文件。

微软365 Defender研究小组和威胁情报中心（MSTIC）的分析师写道：“攻击者必须在DLL组件中找到合适的位置来插入其代码。” “理想情况下，他们会在定期调用的方法中选择一个位置，以确保执行和持久性，从而确保恶意代码始终可以运行。如此合适的位置原来是名为RefreshInternal的方法。

“对该函数的修改非常轻巧，很容易被忽略-它所做的只是在并行线程中执行OrionImprovementBusinessLayer.Initialize方法，因此不会改变RefreshInternal的常规执行流程。

RefreshInternal作为其合法业务的一部分要做的工作之一就是访问一个名为CoreBusinessLayerPlugin的类，该类将初始化各种其他组件并计划执行多个任务。这些任务包括加载名为Start的方法，该方法加载恶意代码。

一旦该代码启动并运行，它就会运行一堆测试，以确保它在没有某些安全软件的环境中，并配置为与某些预期的IP地址进行通信。

如果不存在单个希望的条件，则后门将“避免将恶意功能暴露给有害环境，例如测试网络或属于SolarWinds的机器。”否则，它将开始工作，赋予其主人运行，停止和枚举进程的能力。读取，写入和枚举文件和注册表项；收集并上传有关设备的信息；然后重新启动设备，等待或退出。”

微软表示，这种黑客行为使攻击者能够“遵循特权升级探索，凭证盗窃以及对高价值账户和资产进行横向移动狩猎的标准操作手册”。

众所周知，在18,000名已知的受害者中，攻击者可以使用美国政府的国务院，财政部，国土安全部和商业部。那里有很多高价值目标。

但是我们不知道哪些受到了损害，国务卿庞培建议美国政府可能永远不会透露这次黑客袭击的程度。

他在接受莱文（Levin）采访时说：“我不能说太多，因为我们仍在准确地对其进行分类，我敢肯定其中的一些仍将保密。” ®

注册-技术社区的独立新闻和观点。情境发布的一部分