【安全资讯】研究人员在SolarWinds事件中发现三个新的恶意软件家族

微软和FireEye在周四发现了三种新的恶意软件，这些恶意软件被SolarWinds攻击事件背后的威胁组织所使用。该恶意软件包括：

    一个后门程序，微软将其称为GoldMax，FireEye将其称为Sunshuttle。

    微软发现的一种名为Sibot的两用恶意软件；

    微软发现了一种名为GoldFinder的恶意软件。

GoldMax/Sunshuttle恶意软件

Sunshuttle是一种由Go语言编写的复杂后门，该后门具有将C2通信流量与合法网络流量融合的功能，展示了简单而优雅的检测规避技术。

Sunshuttle从C2中检索到会话密钥后，会发出一个信标以检索命令，然后解析响应内容以确定应运行哪个命令。来自C2的命令包括远程更新其配置，上载和下载文件以及任意命令执行。

FireEye研究人员表示，该恶意软件的感染媒介尚不清楚，并且可能是在系统受到最初危害后通过第二阶段后门分发的。一家美国实体在去年8月将该后门上传到公共恶意软件存储库。 

Sibot恶意软件

微软研究人员发现了一个名为Sibot的恶意软件家族，Sibot是在VBScript中实现的两用恶意软件，旨在受感染的计算机上实现持久性，然后从远程C2服务器下载并执行有效负载。

研究人员观察到此恶意软件的三种变体，这些变体都存在一定的混淆。

GoldFinder恶意软件

微软的研究人员发现一种由Golang编写的名为GoldFinder的新工具。GoldFinder很可能用作“自定义HTTP跟踪器工具，用于记录数据包到达硬编码C2服务器所需的路由或节点。”

GoldFinder启动后，可以识别所有HTTP代理服务器和其他重定向器，例如HTTP请求在网络内部和外部通过网络到达目标C2服务器的网络安全设备。