Af Eskil Sørensen, 22/03/21
En udfordring for systemadministratorer er at finde ud af, om ens systemer er blevet kompromitteret. Til dette kigger man efter Indicators of Compromise, de såkaldte IoC’er, men hvis de som led i angrebet er godt skjult, kan man lede længe.
For at hjælpe systemadministorer eller forsvarere har CISA udgivet to nye værktøjer, der betegnes som ”forensics collection tools”, altså væktøjer som hjælper med udførelse af operationen, der skal finde tegn på skader på systemerne.
Helt konkret er der i dette tilfælde tale om to værktøjer, der hjælper med at finde IoC’er relateret til de to varsler, som CISA fornyligt har sendt ud: Sårbarhederne i Orion-softwaren fra SolarWinds og APT-aktivitet i Microsoft 365/Azure.
Værktøjet kaldes CHIRP, som står for CISA Hunt and Incident Response Program, er tilgængeligt på CISAs Github. Link til Github-siden og en forklaring på anvendelse af værktøjet i ord og video fremgår af CISAs hjemmeside.