CISA发布检测Solarwinds恶意活动的新工具

美国CISA（美国网络安全与基础设施安全局）发布了一个新工具，该工具可以在受威胁的企业内部环境中检测是否含有与SolarWinds黑客有关的恶意活动。

CISA发布的CISA Hunt and Incident Response Program（CHIRP）工具，是一个基于Python的取证收集工具，旨在帮助企业找到与下列CISA警报中详述的活动有关的威胁情报（IOCs）：

AA20-352A：针对政府机构、关键基础设施和私营部门组织的高级持续威胁，主要关注高级持续性威胁（APT）黑客对影响美国政府机构、关键基础设施实体和私营网络组织的SolarWinds Orion产品的攻击。

AA21-008A：检测在 Microsoft 云环境中遭APT攻击后的威胁活动，该警报针对 Microsoft 365/Azure 环境中的 APT 活动，并对可用的开源工具进行了概述和指导。该警报包括CISA开发的Sparrow工具，该工具可帮助企业检测Azure/M365环境中可能受到损害的帐户和应用程序。

这两个警报都与针对政府机构、关键基础设施和私营部门组织的SolarWinds攻击有关。

这并不是CISA发布的第一个检测工具。上文提及的Sparrow工具就是在今年年初，由该机构的云取证团队基于PowerShell的工具所发布的一个工具。

与Sparrow相似，CHIRP也可以在企业内部环境中检测APT活动的迹象。在默认情况下，它会搜索与AA20-352A和AA21-008A警报中描述的恶意活动相关的威胁情报。

CHIRP工具允许检查Windows事件日志中与此活动相关的工件；检查Windows注册表来寻找入侵证据；查询Windows网络工件；应用YARA规则来检测恶意软件、后门或植入物。

Github对该工具的描述显示，CHIRP是一个为了动态查询主机上的威胁情报而被创建的工具，它会以JSON格式输出数据，以便在SIEM或其它工具中进行进一步分析。并且，CHIRP不会修改任何系统的护具。

目前，该工具可以扫描：

是否存在被安全研究人员识别为TEARDROP和RAINDROP的恶意软件

凭证转储凭证拉取

确定与此活动有关的某些持久性机制

系统、网络和M365枚举

已知可观察到的横向移动指标。