CISA释出可侦测就地部署系统SolarWinds恶意活动的免费工具

美国国土安全部旗下的网络安全暨基础架构安全署（CISA）本周祭出了另一个可用来侦测SolarWinds恶意活动的工具：CISA Hunt and Incident Response Program（CHIRP），它与该署之前释出的Sparrow作用类似，只是Sparrow是用来侦测Azure与Microsoft 365等云端环境，而CHIRP则是适用于采用Windows的就地部署环境。

CHIRP可扫描Windows上的SolarWinds Orion或其它可能牵涉到遭骇客横向移动的系统的入侵指标（Indicators of Compromise，IOC），因为即使SolarWinds用户修补了Orion平台上的漏洞，但骇客很可能在漏洞修补前便入侵了组织网络，且留下了恶意足迹。

因此，CHIRP会检查Windows的事件纪录与注册表，查询Windows网络的加工品，同时利用恶意程式特征规则（YARA rule），来检查是否藏有已被安全研究人员发现的Teardrop及Raindrop等恶意程式，或是任何已被入侵的迹象。

以CHIRP来扫描系统大约需要1~2小时，但确实执行时程将根据活动等级、系统资源与资料集的规模而定。曾采用受感染Orion平台的组织可自GitHub下载Sparrow或CHIRP。