微软、FireEye与GoDaddy建立SolarWinds攻击的销毁开关

骇客集团于SolarWinds Orion Platform平台上植入Sunburst木马程式，以进驻采用该平台的各大组织，而微软、FireEye与GoDaddy已联手打造该攻击的销毁开关（kill switch），强迫Sunburst自行中止行动。

骇客是在合法的SolarWinds函式库中嵌入了恶意的SolarWinds.Orion.Core.BusinessLayer.dll（Sunburst），还让该DLL档案可与骇客所建立的C&C服务器通讯。

根据资安部落客Brian Krebs与Bleeping Computer的报导，原本由骇客所掌控的C&C服务器网域名称为avsvmcloud[.]com，但该网域已被没收并解析至微软所持有的IP地址 20.140.0.1。

此举一来可允许微软捕获恶意流量并分析受害者，二来取得骇客的C&C流量也能制止Sunburst的行为。FireEye仅简单地向Bleeping Computer透露，在特定的情况下，Sunburst会终止自己的活动，而且适用于那些依然连结至avsvmcloud[.]com的Sunburst，不管是之前感染的Sunburst，或是新感染的Sunburst。

而Bleeping Computer则分析，若GoDaddy建立一个万用DNS解析方案，把所有avsvmcloud[.]com的子网域都解析至20.140.0.1，再把20.140.0.1列入黑名单，那么Sunburst可能就会终止自己的所有活动。

不过，FireEye亦提醒，此一销毁开关只对Sunburst有用，假使组织网络已被入侵，骇客可能已植入了其它存取工具，仍然必须进行全面的清查。