Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een gratis opensourcetool online geplaatst. De tool kan de aanwezigheid van malware of aanvallers in SolarWinds- en Azure/Microsoft 365-omgevingen opsporen.
De CISA Hunt and Incident Response Program (CHIRP)-tool signaleert indicators of compromise (IOC’s). Een IOC is een aanwijzing voor een specifieke dreiging, bijvoorbeeld een malware-exemplaar binnen het netwerk.
Wereldwijde aanval
De CHIRP-tool die het CISA heeft gemaakt, is speciaal ontwikkeld om IOC’s op te sporen die betrekking hebben op de wereldwijde aanval via de SolarWinds-software en aanvallen op Azure/Microsoft 365-omgevingen.
Windows
De tool kan onder meer Windows-event-logs analyseren maar ook het Windows Register. Tevens is de tool in staat om YARA-rules uit te voeren om de mogelijke aanwezigheid van aanvallers te ontdekken. CHIRP is ter beschikking gesteld als executable en Python-script. De tool is te downloaden via GitHub.
Klik hier voor het alert-bericht van CISA.