微软Microsoft开源代码审查工具用于寻找Solarigate活动

为了帮助其他企业大规模分析源代码，Microsoft开源了CodeQL查询，该查询用于检测入侵指标(IoC)和与Solorigate相关的编码模式。Solorigate攻击的一个关键方面是供应链折衷，这使攻击者可以修改SolarWindsOrion产品中的二进制文件。由于这些经过修改的二进制文件是通过合法的更新渠道分发的，因此它们使攻击者能够远程执行恶意活动，包括凭证盗窃，特权提升和横向移动，以窃取敏感信息。

微软决定开放其调查中使用的CodeQL查询的源，以便其他组织可以对其软件和系统执行类似的分析。

虽然不能保证将网络罪犯限制在SolarWindshack中使用的相同功能或编码风格上，但是这些查询对于检测未来的攻击仍可能对组织有所帮助。

CodeQL是一个功能强大的语义代码分析引擎，现在已成为GitHub的一部分，可供希望在自身安全性工作中使用它的组织下载。

但是与其他分析解决方案不同，CodeQL在两个不同的阶段工作。首先，代码分析引擎将构建一个数据库，该数据库将已编译源代码的模型捕获为二进制文件。一旦数据库被构建，就可以像其他任何数据库一样重复查询它。CodeQL语言还专门用于从数据库中轻松选择复杂的代码条件。

在新的博客文章中，Microsoft安全团队解释了如何将由整个公司的构建系统或管道生成的CodeQL数据库聚合到集中式基础结构中，并指出：

“聚合CodeQL数据库使我们能够在众多代码库中进行语义搜索，并根据构建的一部分特定代码查找可能跨越多个程序集，库或模块的代码条件。我们建立了此功能，可以在所描述的变体发生后的几个小时内分析成千上万的资源库，以查找新描述的脆弱性变体，但它也使我们能够类似地，快速地对Solorigate植入模式进行首次通过调查。”

由于Microsoft已经开放了一些用于评估代码级IoC的C#查询，因此组织现在可以直接从CodeQLGitHub存储库下载它们。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！