为了帮助其他企业大规模分析源代码,微软有开源的CodeQL query,用于检测与Solorigate相关的入侵指示器(IoC)和编码模式。Solorigate攻击的一个关键方面是供应链受损,这使得攻击者能够修改网络安全管理软件产品猎户座产品中的二进制文件。因为这些经过修改的二进制文件是通过合法的更新渠道分发的,所以它们使攻击者能够远程执行恶意活动,包括凭据窃取、特权提升和横向移动,以便窃取敏感信息。
微软决定开放其调查中使用的CodeQL查询的源代码,以便其他组织可以对其软件和系统进行类似的分析。
虽然不能保证网络罪犯会被限制在网络安全管理软件产品黑客使用的相同功能或编码风格,但这些查询仍然有助于组织检测未来的攻击。
Code是一个强大的语义代码分析引擎,现在它已经成为GitHub的一部分,希望在自己的安全工作中使用它的组织可以下载。
但与其他分析解决方案不同,CodeQL在两个不同的阶段工作。首先,代码分析引擎将构建一个数据库,以二进制文件的形式捕获编译后的源代码的模型。一旦构建了数据库,您就可以像查询任何其他数据库一样重复查询它。代码语言还专门用于从数据库中轻松选择复杂的代码条件。
在新的博文中,微软安全团队解释了如何将整个公司的构建系统或管道生成的CodeQL数据库聚合到集中式基础架构中,并指出:
“聚合CodeQL数据库使我们能够在众多代码库中进行语义搜索,并根据构建的特定代码的一部分找到可能跨越多个程序集、库或模块的代码条件。我们建立了这个功能,它可以在描述的变体发生后的几个小时内分析成千上万的资源库以找到新描述的易受攻击的变体,但它也使我们能够类似地快速进行Solorigate植入模式的第一遍调查。”
由于微软已经开放了一些用于评估代码级IoC的C#查询,组织现在可以直接从CodeQL GitHub资源库下载。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!