微软目前正在封锁太阳风网络攻击中使用的Sunburst后门，该攻击已在全球造成众多受害者。

Sunburst后门是正在进行的供应链攻击的一个关键特征，发布全球恶意软件特征码应该可以大大减少威胁。

什么是太阳风网络攻击(the solarwinds cyberattack)？

2020年12月，许多美国**机构宣布，他们是大规模黑客行动的受害者。攻击的后门是通过SolarWinds Orion IT管理和远程监控软件使用恶意更新**的。

截至发稿时，SolarWinds黑客已将美国财政部以及国土安全部、国务院、国防部和商务部称为受害者，并有可能披露更多信息。

相关报道：这些安全专家让你的生活更加安全

太阳风袭击的真实程度尚不清楚。网络安全研究员艾伦·伍德沃德教授在接受BBC采访时说，“冷战后，这是我所知的对西方**潜在的最大规模的渗透。”

什么是阳光后门(the sunburst backdoor)？

如此大规模的袭击需要数月甚至数年的计划。攻击是在向SolarWinds Orion软件发送未被发现的恶意更新后启动的。

在不知情的情况下，太阳风和他们的用户，其中许多是**部门，一个威胁演员感染了一个更新。

这一更新已推广到至少18000个客户，潜在客户数将达到300000个。激活后，更新触发了一个木马版本的Orion软件，允许攻击者访问计算机和更广泛的网络。

这个过程被称为供应链攻击。这一黑客行为是由FireEye发现的，FireEye本身就是2020年12月一次相关的高调数据泄露事件的受害者。

相关报道：领先的网络安全公司FireEye受到国家攻击

FireEye报告摘要如下：

The actors behind this campaign gained access to numerous public and private organizati*** around the world. They gained access to victims via trojanized updates to SolarWind's Orion IT monitoring and management software. This campaign may have begun as early as Spring 2020 and is currently ongoing. Post compromise activity following this supply chain compromise has included lateral movement and data theft.

那么，Sunburst就是FireEye跟踪网络攻击的名字，以及通过SolarWinds软件分发的恶意软件的名字。

微软是如何阻止sunburst后门的？

微软正在对其安全工具进行检测。一旦恶意软件签名转出到Windows Security（以前叫Windows Defender），运行Windows 10的计算机将受到恶意软件的保护。

根据Microsoft 365 Defender威胁情报团队博客：

Starting on Wednesday, December 16 at 8:00 AM PST, Microsoft Defender Antivirus will begin blocking the known malicious SolarWinds binaries. This will quarantine the binary even if the process is running.

如果您遇到Sunburst恶意软件，Microsoft还提供以下附加安全步骤：

1. 立即隔离受感染的设备。如果你发现了Sunburst恶意软件，你的设备很可能会受到攻击者的控制。
2. 如果在受感染的设备上使用了任何帐户，您应该考虑这些帐户已被泄露。重置与帐户相关的任何密码或完全解除帐户的使用。
3. 如果可能，开始调查设备是如何被破坏的。
4. 如果可能，开始搜索恶意软件已移动到其他设备的指示器，称为横向移动。

对大多数人来说，前两个安全步骤是最重要的。你也可以在SolarWinds网站上找到更多的安全信息。

目前还没有确认攻击者的身份，但这项工作被认为是一个高度复杂和资源丰富的民族国家黑客团队的工作。