美国发布《灰熊草原俄罗斯恶意网络活动》报告.docx
- 文档编号:16734335
- 上传时间:2023-07-16
- 格式:DOCX
- 页数:8
- 大小:24.06KB
美国发布《灰熊草原俄罗斯恶意网络活动》报告.docx
《美国发布《灰熊草原俄罗斯恶意网络活动》报告.docx》由会员分享,可在线阅读,更多相关《美国发布《灰熊草原俄罗斯恶意网络活动》报告.docx(8页珍藏版)》请在冰点文库上搜索。
美国发布《灰熊草原俄罗斯恶意网络活动》报告
美国发布《灰熊草原–俄罗斯恶意网络活动》报告
美国发布《灰熊草原–俄罗斯恶意网络活动》报告吴绍忠等2017-01-06
联合分析报告
声明:
本报告仅供参考。
美国国土安全部(DHS)不对本报告的内容提供任何形式的担保。
美国国土安全部不为任何形式的商业产品或者服务做背书。
本报告属于TLP:
白色级:
符合标准的版权规则,TLP:
白色级信息可以不受限制地传播。
欲了解更多根据红绿灯协议[①]分类的信息,请参见https:
//www.us-cert.gov/tlp。
灰熊草原–俄罗斯恶意网络活动○摘要:
这个联合分析报告(JAR)是国土安全部(DHS)和联邦调查局(FBI)两个部门联合分析工作的成果。
本文件提供有关俄罗斯军事情报局(RIS)在危害、利用漏洞攻击美国大选以及众多的美国政府、党派和私营部门过程中使用的工具和基础设施的技术细节。
美国政府将RIS实施的恶意网络活动称为灰熊草原。
以前的联合分析报告没有把恶意网络活动归因于特定的国家或行为者。
但是,来自于美国情报界、国土安全部、联邦调查局、私营部门和其他实体的技术指标证明了这些行为的共同指向RIS。
这一点比2016年10月7日国土安全部和国家情报总监发表关于选举安全的联合声明时更加明确了。
此次由RIS实施的活动是一个正在进行的针对美国政府及其公民的网络战略的一部分。
这些网络活动包括针对导致政府组织、关键基础设施实体、智库、大学、政党组织和企业信息被窃取的渔叉式钓鱼行为[②]。
RIS人员在美国以外的国家对美国实施破坏性和/或导致混乱的网络攻击,包括对关键基础设施网络的攻击。
在某些情况下,RIS人员伪装成第三方,隐藏在假的在线角色背后,旨在使受害者错误地判断攻击的来源。
联合分析报告的内容包括许多与这类攻击行为相关的技术指标、推荐的缓解手段、针对提供的技术指标应采取的措施以及如何向美国政府报告此类事件信息的方法。
描述美国政府确认两个不同的RIS成员参与了对美国政党的入侵。
第一个RIS成员组被称为高级持续威胁(APT)29,于2015年夏天侵入政党的系统,第二个被称为APT28,于2016年春季侵入。
图1:
APT29和APT28对目标系统实施网络侵入时采用的战术和技术这两个RIS小组都曾经以世界各地的政府组织、智库、大学和公司为目标。
APT29已经被观察到利用链接到恶意Dropper[③]病毒的网络链接钓鱼;代码一旦被执行就会投放远程访问工具(RATs)并利用各种技术来逃避检测。
APT28利用与目标组织非常相似的域名,欺骗潜在受害者输入真实合法的认证信息。
在他们电子邮件网络钓鱼攻击中,APT28严重依赖缩短的URL。
一旦APT28和APT29可以侵入受害者,两个组都会泄露和分析信息以获得情报价值。
这些小组使用这些信息来实施针对性非常强的鱼叉式钓鱼活动。
这些RIS成员设置操作性基础设施以掩盖他们用于定位组织、建立指挥和控制节点的源基础设施、主机域名和恶意软件,进而从其目标获取真实合法的认证信息和其他有价值的信息。
2015年夏天,一封包含了恶意链接的APT29钓鱼攻击电子邮件有1,000多个收件人,包括多名美国政府受害者。
APT29使用合法域名,包括与美国组织和教育机构相关联的域名,以托管恶意软件并发送钓鱼电子邮件。
在行动过程中,APT29成功地侵入了一个美国政党的系统。
至少有一个目标个人激活了指向托管在开放附件并包含恶意软件的操作性基础设施上的恶意软件的链接。
APT29向政党的系统注入恶意软件,建立了持久并逐步升级的特权,枚举搜索活动目录帐户,通过回联至操作性基础设施的加密连接从几个帐户利用电子邮件泄露信息。
2016年春天,APT28通过渔叉式钓鱼攻击侵入了同一个政党的系统。
这一次,渔叉式钓鱼电子邮件欺骗收件人在托管于APT28的操作性基础设施上的虚假网络中更改其邮件密码。
利用收集到的有效认证资料,APT28能够访问和窃取信息,可能导致了信息通过多个高级政党成员泄露。
美国政府评估后认为这些信息被泄露给新闻界并公开披露。
图2APT28利用渔叉式钓鱼偷取认证资料的方式有可能与RIS相关的人员仍在继续进行鱼叉钓鱼攻击,包括最近在2016年11月发动的一起,就在美国大选的几天后。
○已报告的RIS小组技术细节○入侵指标(IOCs)与RIS网络行动者相关的IOCs通过编号为JAR-16-20296的联合分析报告附带的.csv和.stix文件提供。
○Yara[④]签名rulePAS_TOOL_PHP_WEB_KIT{meta:
description="PASTOOLPHPWEBKITFOUND"strings:
$php="<?
php"$base64decode=/\='base'\.\(\d+\*\d+\)\.'_de'\.'code'/$strreplace="(str_replace("$md5=".substr(md5(strrev("$gzinflate="gzinflate"$cookie="_COOKIE"$isset="isset"condition:
(filesize>20KBandfilesize<22KB)and#cookie==2and#isset==3andallofthem}○应根据指标采取的行动DHS建议网络管理员审查IP地址、文件哈希值和Yara签名,并将IP添加到其观察列表,以确定其组织中是否存在恶意活动。
对网络流量或防火墙日志的审查将有助于确定您的网络是否经历过可疑活动。
当查看IP地址的网络日志时,组织也许能发现这些IP尝试连接到他们的系统的大量实例。
如果审查来自这些IP的流量,一部分流量也许对应于恶意活动,一部分可能对应于合法访问。
一些看起来合法的流量实际上是恶意的,例如漏洞扫描或利用合法的面向公众的服务(例如,HTTP,HTTPS,FTP)的浏览。
来自这些IP的连接可能正在执行漏洞扫描,尝试识别易受跨站点脚本(XSS)或结构化查询语言(SQL)注入攻击的网站。
如果扫描已识别的脆弱网站,利用这些漏洞的尝试可能会非常熟练。
网络管理员应该在其面向公众的网站上检查是否存在恶意文件哈希值。
系统所有者应该在任何已被RIS作为目标的系统上运行Yara签名。
○IOCs的威胁恶意行为人可能使用各种方法来干扰信息系统。
下面列出了一些攻击方法。
提供的指导适用于许多其他计算机网络。
注入缺陷是应该广泛的Web应用程序攻击技术,这种方法尝试向浏览器、数据库或其他系统发送命令,允许普通用户控制操作。
最常见的例子是SQL注入,它破坏网页与其支持数据库之间的关系,通常用于获取数据库中包含的信息。
另一种形式是命令注入,通过这种方式未授权用户能够向支持Web应用或数据库的操作系统发送命令。
有关详细信息,请参阅美国计算机快速应急团队(US-CERT)关于SQL注入的出版物。
跨站点脚本(XSS)漏洞允许威胁者在Web应用程序中插入和执行XX的代码。
对网站成功的XSS攻击可以为攻击者提供XX的访问。
有关针对XSS的预防和缓解策略,请参阅US-CERT针对被侵入Web服务器和WebShell[⑤]发布的警报。
服务器漏洞可能被利用来允许对敏感信息XX的访问。
对不良配置的服务器的攻击可允许对手访问关键信息,包括在服务器上托管的任何网站或数据库。
有关其他信息,请参阅USCERT的网站安全提示。
推荐的缓解措施○确保网络安全的最佳实践致力于良好的网络安全和最佳实践对于保护网络和系统至关重要。
这里有一些问题,你可以对照检查以帮助你的组织防止和减轻攻击。
1、备份:
我们是否备份所有关键信息?
备份是否离线存储?
我们测试了我们在事件期间恢复备份的能力吗?
2、风险分析:
我们是否对组织进行了网络安全风险分析?
3、员工培训:
我们是否对员工进行网络安全最佳实践培训?
4、漏洞扫描和修补:
我们是否定期扫描我们的网络和系统,并对已知的系统漏洞进行适当的修补?
5、应用白名单:
我们只允许批准的程序在我们的网络上运行吗?
6、事件响应:
我们有一个事件响应计划并进行过演练吗?
7、业务延续性:
当无法接入特定系统时,我们能否继续业务运转,能够坚持多久?
是否测试过?
8、渗透测试:
是否测试过攻击自己的系统已测试安全性以及我们抵御攻击的能力。
○七条缓解网络威胁的策略国土安全部建议网络管理实施以下的这些策略,这些策略能够预防最大85%的网络攻击。
这些策略很多都是常识,但是国土安全部看到很多企业仍然没有很好的应用这些基本方法,导致了被入侵。
1、给应用程序和操作系统打补丁——脆弱的应用程序和操作系统是多数攻击的目标。
确保及时升级补丁程序,减少给黑客的可乘之机。
升级时切记要从官方站点下载补丁程序。
2、使用白名单——白名单是最好的网络安全策略之一,因为白名单仅仅允许特定程序运行,屏蔽其他程序,包括那些恶意程序。
3、严格管理权限——威胁者们越来越多的用获取合法权限,特别是那些具有较高权限的账户的控制权的方法来入侵。
根据用户的工作职责给予最小权限。
将管理员隔离到管理层,限制其访问其他层。
4、网络分区以及划分安全区域——将网络划分为逻辑区块,严格主机到主机之间的通信路径。
这可以保护敏感信息和关键服务,将破坏限制在一定的网络区块内。
5、输入验证——输入验证可以对非信任用户的输入信息进行安全处理,可以组织很多种类型的Web应用安全缺陷,例如SQLi,XSS和命令植入。
6、文档信誉评级——将反病毒文件信誉评价系统调节到最高级别,一些产品能够仅仅限制那些具有最高信誉度的文档执行,阻止大量非信任代码获得控制权。
7、懂得防火墙——当任何人或程序都能够在任何时候进入你的网络,你的网络很有可能被攻击。
防火墙可以组织来自特定位置或程序的数据,同时允许相关和必须的数据通过。
○对非认证的网络接入作出响应部署你的安全事件应对和业务延续方案。
当攻击发生时需要你的组织的IT团队隔离和清除威胁,恢复正常业务。
同时你需要按照你的业务延续方案一步步维护修复组织的关键功能。
组织应当定期检查和维护备份计划、灾后恢复计划以及业务延续规程。
立刻与国土安全部和执法部门联系。
详细的减灾策略○防止SQL植入和其他Web服务攻击定期评估已知的和新发布的脆弱性,定期升级软件和更新技术,审查系统外面对的已知的web应用的脆弱性。
一步步强化Web应用及其主机,以减少其遭受网络入侵的风险。
使用和配置可用的防火墙以屏蔽攻击。
采取方法进一步强化windows系统,例如安装微软EMET,Applocker。
减少或删除任何在www指向中的非认证的代码。
不允许使用ICMP协议,和简单网络管理协议(SNMP),尽可能的响应这些协议从web服务器上删除不必要的HTTP命令,典型的web服务和应用通常只需要GET、POST和HEAD三种命令就够了在可能的情况下,通过配置web服务最小化服务器指纹,避免用banner响应鉴别服务器软件和版本号码。
强化操作系统和应用的安全性定期给产品服务器升级补丁。
关闭潜在的具有危害的SQL-存储过程调用。
对输入信息进行检查和无害化处理,确保其输入恰当并且不含有代码考虑使用安全类型的存储过程和预处理语句对操作日志进行定期审查,寻找可以活动对Web服务进行渗透测试确保错误信息是类型化的,不暴露太多的系统信息。
○网络钓鱼和鱼叉式网络钓鱼为你的组织的域名系统(DNS)区域文件实施发送方策略框架(SPF)记录,以尽量减少接收冒名顶替邮件的风险。
教导用户要警惕对来路不明的电话,社交媒体互动或来自询问员工或其他内部信息的个人的电子邮件。
如果不明身份的人声称自己来自合法组织,请尝试直接通过公司验证他(她)的身份。
不要提供个人信息或有关您组织的信息,包括组织的结构和网络,除非您确定某人有权获取该信息。
不要在社交媒体或电子邮件中透露个人或财务信息,也不要回复此信息,也不要按照电子邮件发送的链接进行回复。
注意网站的URL。
恶意网站可能与合法网站看起来相同,但URL中通常与合法网站在拼写中有所不同,或者不同的网域(例如.com与.net)。
如果您不确定电子邮件请求是否合法,请尝试通过直接与公司联系进行验证。
不要使用与此请求相关的网站上提供的联系信息;而是检查先前的记录以获取联系信息。
有关已知的网络钓鱼攻击的信息也可从一些在线工作组获取,例如反网络钓鱼工作组(http:
//www.antiphishing.org)。
利用您的电子邮件客户端和网络浏览器提供的反网络钓鱼功能。
对所有系统的关键漏洞进行修补,优先及时修补处理互联网数据的软件,如Web浏览器,浏览器插件和文档阅读器。
○许可,权限和存取控制将权限减少到用户职责所需要的权限。
限制用户安装和运行不需要的软件应用程序的能力(权限),并将“最低权限”原则应用于所有系统和服务。
限制这些权限可以防止恶意软件运行或限制其通过网络传播。
在向用户授予他们自己计算机上的管理权限之前,请仔细考虑这些风险。
定期清理并验证所有管理员帐户。
配置组策略(GroupPolicy)以在可能的情况下将所有用户限制为仅一个登录会话。
在可能的情况下执行网络安全验证。
指导管理员使用非特权帐户的标准功能,例如浏览网络或检查网络邮件。
网络的划分设置逻辑上的“特区”,并限制主机到主机通信路径。
“特区”所发挥的遏制作用,使事件的善后工作成本明显降低。
对防火墙加以配置,不允许远程桌面协议(RDP)生效,以禁止来自外网的远程操控,除非特定的操作——例如在进入一个较低权限的辅助VPN时。
审计现存的防火墙制度,关闭所有非商用的端口,分门别类地仔细甄别哪些端口应该作为链接的通道。
对网络用户执行严格的锁定策略,并密切监视登录失败的活动日志。
这些日志可以警示入侵未遂的行动。
如果区域间的远程访问是不可避免的商业需求,应当对这些行为进行密切记录和监视。
在高风险的环境下进行拦截和入侵,组织应考虑补充其他授权方式的密码认证,(如使用生物特征或物理令牌的质询/响应或多因素身份验证)补充密码身份验证。
○证书使用专用管理员工作站和专用于每个层的单独管理帐户强制执行分层管理模型,以防止有些工具(例如Mimikatz)通过收集域级凭据来盗取凭证。
实施多因素身份验证(例如智能卡)或至少确保用户选择定期更改的复杂密码。
要注意的是某些服务(如、FTP、telnet和.rlogin)以明文传输用户凭证。
尽可能减少使用这些服务或者考虑更安全的替代方案。
通过哈希密码难以保护密码文件的安全。
在几秒钟内使用免费工具可以破解哈希密码。
在UNIX系统上,请考虑使用影子密码文件或等同物来限制对敏感密码散列的访问。
替换或修改服务,以便通过加密通道传递所有用户凭据。
避免使用降低证书整体强度的密码策略。
要避免的策略包括缺少密码到期日期,缺少锁定策略,低或禁用密码复杂性要求,以及密码历史记录设置为0。
通过设置策略和执行定期审核,确保用户不会在区域之间重新使用密码。
为每个设备的本地帐户使用唯一的密码。
○日志操作要点确保事件日志记录(含应用程序,事件,登录活动,安全属性等)能够识别打开过或监听过的安全问题。
设置能够提供足够信息去帮助快速准确定性安全事件的网络日志。
将PowerShell平台升级到有增强日志记录功能的新版本,并监听日志以检测PowerShell命令的使用情况,这类命令经常被恶意软件利用。
将安全日志统一存放并隐藏,防止其被修改。
准备好面对网络入侵时能快速实施的事故应急计划。
○如何提高机构的网络安全态势DHS为机构提供各类资源,帮助识别和解决其遇到的网络安全风险。
资源包括需讨论的要点、机构网络安全评估计划以及机构可借助的资源清单。
比如各类服务的列表,可访问https:
//www.us-cert.gov/ccubedvp。
其它资源包括:
网络安全顾问(CSA)计划为网络安全准备工作、风险缓解工作提供支持,其中包括关键基础设施安全事件响应能力以及使相应工作与联邦政府要求更加一致。
CSAs(网络安全顾问者)就是分配给全国各地的DHS人员,每10个CSA地区至少有一个顾问,来接收和反馈联邦紧急事务管理局的工作。
发送电子邮件至cyberadvisor@hq.dhs.gov了解更多情况。
网络承受度审查(CRR)是一项免费自愿评估,用于评估和加强关键基础设施部门以及州、地方、部落和地方政府的网络安全。
CRR的目标是,发展对关键网络安全的理解力和衡量力,从而提供出与实体运营承受力相关的有效指标,和针对关键服务在日常运维及出现压力、危机中遇到网络风险时的管控能力。
访问https:
//www.cert.org/resilience/rmm.html,了解有关CERT承受度管控模型的更多信息。
增强网络安全服务(ECS)帮助关键基础设施所有者、运营商与商业服务提供者(CSPs)、运营实施者(OLs)来共享敏感、分类的网络威胁情报。
然后,CSPs通过网络威胁情报保护CI客户,OLs通过此威胁情报保护内部网络。
发送电子邮件至ECS_Program@hq.dhs.gov了解更多情况。
网络安全信息共享和协作计划是一个在关键基础设施合作伙伴和联邦政府之间自愿进行信息共享和协作的计划。
了解更多信息,请联系邮箱CISCP@us-cert.gov。
自动指标共享(AIS)项目是国土安全部的一项工作,旨在建立一个共享系统,私营公司或联邦机构一旦发现入侵企图,将即时与所有其他合作伙伴共享这一攻击指标,帮助这些合作伙伴抵御此类威胁。
这意味着攻击者只能一次性的利用一种攻击,这将增加攻击者的攻击成本,最终减少网络攻击数量。
尽管这一系统不能清除复杂的网络威胁,但可以帮助私营公司和联邦机构清除略简单的攻击,从而更加专注的对付复杂网络威胁。
该项目的参与者都与一个国土安全部管理的系统相连接。
该系统位于美国国家网络安全和通信整合中心(NCCIC),允许参与者双向共享网络威胁信息。
每台参与者的主机允许参与者与NCCIC交流威胁信息。
参与者将不仅能收到国土安全部发出的威胁信息,也可以共享在自己网络防御工作中发现的威胁信息,国土安全部将把这些信息与其他参与者共享。
了解更多信息,请登录https:
//www.dhs.gov/ais。
网络安全框架(框架),是由国家标准与技术研究所(NIST)与其他公共和私营部门合作研制,该框架能够提升各机构的网络安全准备工作。
该框架允许各个机构,无论其规模、受网络威胁程度或网络复杂度,都可以应用一些准则和风险管理的最佳实践做法来提升关键基础设施的安全和弹性。
框架提供了当今行之有效的标准、指导原则和实践做法。
该框架包括3个部分——框架核心、框架轮廓和框架实施层级——并突出了5个职能:
确认、保护、防御、回应和恢复。
框架的使用是完全自愿的。
了解更多信息,请登录https:
//www.nist.gov/cyberframework或联系邮箱cyberframework@nist.gov。
联系信息希望该报告的读者能够提供更多与报告中所提威胁相关的信息。
请在回复邮件的主题添加该报告的索引编码(JAR-16-20296)。
关于该报告如有任何问题,请联系NCCIC或联邦调查局(FBI)。
NCCIC:
电话:
+1-888-282-0780邮箱:
NCCICCustomerService@hq.dhs.govFBI:
电话:
+1-855-292-3937邮箱:
cywatch@ic.fbi.gov反馈NCCIC将不断提升产品和服务品质。
可通过回答关于此报告的一些问题(URL:
https:
//www.us-cert.gov/forms/feedback),为我们提供帮助。
○[①]译者注:
TrafficLightProtocol(红绿灯协议,简称TLP):
一组标准和规范,将可能被共享的情报分为四个等级(红色,黄色,绿色,白色),以控制共享范围。
[②]译者注:
鱼叉式网络钓鱼(spearphishing)是面向特定组织的欺诈行为,目的是不通过授权访问机密数据。
和用于常规钓鱼(phishing)活动的电邮信息一样,鱼叉式网络钓鱼信息看上去来源可靠。
(以下内容来自网络)以下是鱼叉式网络钓鱼(spearphishing)攻击的一种形式:
犯罪者找到目标组织的网站,这个网站提供员工的联系信息和公司的其它相关数据。
犯罪者运用详细信息来让他们发出的信息看上去更可信,他们冒用某人身份编写的邮件,被冒用身份的人需要这些机密信息应该是合理的,如网络管理员。
一般来说,鱼叉式网络钓鱼人需要用户名和密码或者是叫接收人点击会让用户下载间谍软件(spyware)或其它恶意程序的链接。
这样的信息应用社交工程(欺诈,非技术性)的战略来获得接收人的相信。
如果一名员工掉进了鱼叉式网络钓鱼者的陷阱,攻击者可以伪装成该员工然后获得机密数据的访问权。
[③]译者注:
Dropper是一种在电脑中释放木马的病毒。
[④]译者注:
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。
YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。
[⑤]译者注:
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 灰熊草原俄罗斯恶意网络活动 美国 发布 草原 俄罗斯 恶意 网络 活动 报告