科技

当前位置/ 首页/ 要闻频道/科技/ 正文

微软Microsoft开源代码审查工具用于寻找Solarigate活动

为了帮助其他企业大规模分析源代码,Microsoft开源了CodeQL查询,该查询用于检测入侵指标(IoC)和与Solorigate相关的编码模式。Solorigate攻击的一个关键方面是供应链折衷,这使攻击者可以修改SolarWinds Orion产品中的二进制文件。由于这些经过修改的二进制文件是通过合法的更新渠道分发的,因此它们使攻击者能够远程执行恶意活动,包括凭证盗窃,特权提升和横向移动,以窃取敏感信息。

微软决定开放其调查中使用的CodeQL查询的源,以便其他组织可以对其软件和系统执行类似的分析。

虽然不能保证将网络罪犯限制在SolarWinds hack中使用的相同功能或编码风格上,但是这些查询对于检测未来的攻击仍可能对组织有所帮助。

CodeQL是一个功能强大的语义代码分析引擎,现在已成为GitHub的一部分,可供希望在自身安全性工作中使用它的组织下载。

但是与其他分析解决方案不同,CodeQL在两个不同的阶段工作。首先,代码分析引擎将构建一个数据库,该数据库将已编译源代码的模型捕获为二进制文件。一旦数据库被构建,就可以像其他任何数据库一样重复查询它。CodeQL语言还专门用于从数据库中轻松选择复杂的代码条件。

在新的博客文章中,Microsoft安全团队解释了如何将由整个公司的构建系统或管道生成的CodeQL数据库聚合到集中式基础结构中,并指出:

“聚合CodeQL数据库使我们能够在众多代码库中进行语义搜索,并根据构建的一部分特定代码查找可能跨越多个程序集,库或模块的代码条件。我们建立了此功能,可以在所描述的变体发生后的几个小时内分析成千上万的资源库,以查找新描述的脆弱性变体,但它也使我们能够类似地,快速地对Solorigate植入模式进行首次通过调查。”

由于Microsoft已经开放了一些用于评估代码级IoC的C#查询,因此组织现在可以直接从CodeQL GitHub存储库下载它们。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。