코드큐엘
쿼리를 적용하면 솔라윈즈 바이너리와 비슷한 패턴과 기능을 가진 코드를 찾아준다.
MS는 솔라윈즈라 안 부르고 솔로리게이트라고 부르는 듯 하다.
솔라윈즈에 티어드롭 멀웨어도 사용되었는데, 솔라윈즈에 사용한 멀웨어를 제거하기 위해 코드큐엘을 사용할 수 있다.
MS는 공격자들이 서로의 노하우를 공유하기에 더욱 실력이 높아지고 있다면서, 자신들의 도구를 배포하며 보안 업계에도 이같은 바람이 불어야 한다고 이야기 했다.
멋진 자세다.
- MS 코드큐엘 받으러 가기
Microsoft open sources CodeQL queries used to hunt for Solorigate activity - Microsoft Security
We are sharing the CodeQL queries that we used to analyze our source code at scale and rule out the presence of the code-level indicators of compromise (IoCs) and coding patterns associated with Solorigate so that other organizations may perform a similar
www.microsoft.com
[참조]
