安全路透社
当前位置:安全路透社 > 网络转载 > 正文

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

2017-02-14_112407.jpg

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activity),与上次的联合分析报告(JAR-16-20296)不同,此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。这些证据涉及攻击活动的前期踩点侦查、攻击程序武器化、恶意文件传播、漏洞利用、驻留程序安装、C&C控制、目标攻击行为和检测响应等方面,通过入侵指纹、恶意代码、网络行为等特征,全方位描述和刻画了整个“灰熊草原”(GRIZZLY STEPPE)网络攻击活动,值得参考研究。该报告所呈现证据,由美国DHS下属的国家网络安全和通信整合中心(NCCIC)联合跨部门合作机构和其它监测“灰熊草原”活动的第三方私营公司综合而成。

报告概要

在JAR-16-20296和本报告之前,一些网络安全和威胁研究公司已经发布了大量关于“灰熊草原”(GRIZZLY STEPPE)攻击活动的分析报告,在此,为了更好地了解APT28和APT29的网络攻击行为,DHS鼓励广大网络安全专家、威胁分析研究者或普通民众积极获取这些公开报告,从中发现攻击的TTPs属性,进一步防御“灰熊草原”攻击活动。以下是部分关于“灰熊草原”攻击活动的公开报告清单,仅供参考,不代表美国政府支持或认可特定产品或供应商:

2017-02-14_110619.jpg

技术证据分析

DHS分析师采用网络攻击链( Cyber Kill Chain )模式对攻击活动进行分析、讨论和识别,通过Cyber Kill Chain的7个判断步骤,利用技术性证据,详细描述了整个“灰熊草原”攻击活动。

前期踩点侦查

攻击者采用多种侦测方法确定了最佳入侵目标,这些方法包括网络漏洞扫描、用户凭据窃取、注册与目标组织机构网站相似域名等,其中注册的相似域名(又称typo-squatting攻击)又以钓鱼邮件链接的方式发送给了目标受害者,实现引诱欺骗,进而达到窃取受害者相关账号密码目的。DHS在此警告相关机构组织应重视此类攻击。

而且,在2016年大选前期,DHS发现了一些可疑的网络扫描活动,这些扫描活动着重判断目标网站系统的XSS和SQL漏洞情况。一旦识别到漏洞存在,攻击者就会利用这些漏洞进一步入侵目标网络。网络边界扫描是攻击活动的前兆。

“灰熊草原”攻击者使用的另外一种方法是,通过公开的网络基础设施架构临时、中转或钓鱼网站页面,进行目标用户的密码凭据信息收集和存储。

攻击程序武器化

据报道,2014年攻击者首先利用了名为OnionDuke的恶意软件开始了网络攻击行为,从这个阶段开始,一些安全分析研究者就有所察觉。“灰熊草原”攻击程序的武器化方法主要为:

对某些网站进行代码注入实行“水坑攻击”

制作包含恶意宏程序的Office文件

制作包含恶意flash代码的富文本格式(RTF)文档

恶意文件传播

主要使用钓鱼邮件附件或链接进行恶意文件传播,如以下附件格式、邮件主题、文件标题等:

efax, e-Fax, efax #100345(随机序列数组合)

PDF, PFD, Secure PDF

时事主题,如“欧洲议会声明….”等

Microsoft Outlook Web Access(OWA)的钓鱼登录页面

网络威胁事件会议邀请

入侵合法站点设置包含恶意程序的软件下载

在种子站点提供被感染的盗版软件下载

利用TOR出口节点传播恶意文件

漏洞利用

“灰熊草原”攻击者利用了一系列CVE漏洞组合开发具有特定功能的恶意软件,这些CVE包括:

CVE-2016-7855: Adobe Flash Player UAF漏洞

CVE-2016-7255: Microsoft Windows 提权漏洞

CVE-2016-4117: Adobe Flash Player 远程攻击漏洞

CVE-2015-1641: Microsoft Office 内存破坏漏洞

CVE-2015-2424: Microsoft PowerPoint 内存破坏漏洞

CVE-2014-1761: Microsoft Office DoS(内存破坏)漏洞

CVE-2013-2729: Adobe Reader 和Acrobat 溢出漏洞

CVE-2012-0158: Microsoft Office的ActiveX 控件破坏漏洞

CVE-2010-3333: Microsoft Office RTF文档栈溢出漏洞

CVE-2009-3129: Microsoft Office 兼容包远程攻击漏洞

驻留程序安装

攻击者使用了多种方式植入恶意驻留程序,可以通过一些公开报告和对Sofacy和Onion Duke的研究发现。近期,DHS分析了“灰熊草原”相关的17个PHP文件、3个执行程序和1个RTF文档,其中PHP文件是攻击者用来进行远程管理被入侵网站的webshell,RTF文档则内置了恶意可执行程序。(分析结果标记为MIFR-10105049)

C&C控制

攻击者利用C&C方式进一步安装特定恶意程序和控制管理,这些C&C方式一般通过被入侵网站或公开的网络基础设施来进行中转,如短链接网站服务、TOR隐蔽服务等,但大多为通过IP或域名反弹方式连接管理植入程序。

目标攻击行为

攻击者在不同的攻击目标和活动中使用了多种恶意植入程序,通过这些程序实现敏感数据、邮件和用户凭据窃取等目的。

检测响应

DHS依据被攻击主机和网络检测响应机制发现的技术性证据,这些证据包括攻击者使用的恶意代码、程序指纹和网络行为等信息,在报告附录中分析并列出了详细的,与APT28和APT29相关的入侵指标和YARA恶意软件匹配规则。报告最后对相应的攻击给出了防御和缓解措施。

APT28和APT29技术性证据

包括一些SNORT规则、YARA规则和恶意代码指纹,如:

01.jpg

04.jpg

05.jpg

详细证据请参考原报告:AR-17-20045

*参考来源:US-CERTFB小编clouds编译。

未经允许不得转载:安全路透社 » 美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册