美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

FB客服

发布于 2018-02-09 17:13:16

1.4K0

发布于 2018-02-09 17:13:16

近期，美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告（Enhanced Analysis of GRIZZLY STEPPE Activity），与上次的联合分析报告（JAR-16-20296）不同，此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。

这些证据涉及攻击活动的前期踩点侦查、攻击程序武器化、恶意文件传播、漏洞利用、驻留程序安装、C&C控制、目标攻击行为和检测响应等方面，通过入侵指纹、恶意代码、网络行为等特征，全方位描述和刻画了整个“灰熊草原”（GRIZZLY STEPPE）网络攻击活动，值得参考研究。

该报告所呈现证据，由美国DHS下属的国家网络安全和通信整合中心（NCCIC）联合跨部门合作机构和其它监测“灰熊草原”活动的第三方私营公司综合而成。

报告概要

在JAR-16-20296和本报告之前，一些网络安全和威胁研究公司已经发布了大量关于“灰熊草原”（GRIZZLY STEPPE）攻击活动的分析报告。

在此，为了更好地了解APT28和APT29的网络攻击行为，DHS鼓励广大网络安全专家、威胁分析研究者或普通民众积极获取这些公开报告，从中发现攻击的TTPs属性，进一步防御“灰熊草原”攻击活动。

以下是部分关于“灰熊草原”攻击活动的公开报告清单，仅供参考，不代表美国政府支持或认可特定产品或供应商：

技术证据分析

DHS分析师采用网络攻击链（ Cyber Kill Chain ）模式对攻击活动进行分析、讨论和识别，通过Cyber Kill Chain的7个判断步骤，利用技术性证据，详细描述了整个“灰熊草原”攻击活动。

前期踩点侦查

攻击者采用多种侦测方法确定了最佳入侵目标，这些方法包括网络漏洞扫描、用户凭据窃取、注册与目标组织机构网站相似域名等，其中注册的相似域名（又称typo-squatting攻击）又以钓鱼邮件链接的方式发送给了目标受害者，实现引诱欺骗，进而达到窃取受害者相关账号密码目的。

DHS在此警告相关机构组织应重视此类攻击。

而且，在2016年大选前期，DHS发现了一些可疑的网络扫描活动，这些扫描活动着重判断目标网站系统的XSS和SQL漏洞情况。

一旦识别到漏洞存在，攻击者就会利用这些漏洞进一步入侵目标网络。网络边界扫描是攻击活动的前兆。

“灰熊草原”攻击者使用的另外一种方法是，通过公开的网络基础设施架构临时、中转或钓鱼网站页面，进行目标用户的密码凭据信息收集和存储。

攻击程序武器化

据报道，2014年攻击者首先利用了名为OnionDuke的恶意软件开始了网络攻击行为，从这个阶段开始，一些安全分析研究者就有所察觉。“灰熊草原”攻击程序的武器化方法主要为：

对某些网站进行代码注入实行“水坑攻击” 制作包含恶意宏程序的Office文件制作包含恶意flash代码的富文本格式（RTF）文档

恶意文件传播

主要使用钓鱼邮件附件或链接进行恶意文件传播，如以下附件格式、邮件主题、文件标题等：

efax, e-Fax, efax #100345（随机序列数组合） PDF, PFD, Secure PDF 时事主题，如“欧洲议会声明….”等 Microsoft Outlook Web Access（OWA）的钓鱼登录页面网络威胁事件会议邀请入侵合法站点设置包含恶意程序的软件下载在种子站点提供被感染的盗版软件下载利用TOR出口节点传播恶意文件

漏洞利用

“灰熊草原”攻击者利用了一系列CVE漏洞组合开发具有特定功能的恶意软件，这些CVE包括：

CVE-2016-7855: Adobe Flash Player UAF漏洞 CVE-2016-7255: Microsoft Windows 提权漏洞 CVE-2016-4117: Adobe Flash Player 远程攻击漏洞 CVE-2015-1641: Microsoft Office 内存破坏漏洞 CVE-2015-2424: Microsoft PowerPoint 内存破坏漏洞 CVE-2014-1761: Microsoft Office DoS（内存破坏）漏洞 CVE-2013-2729: Adobe Reader 和Acrobat 溢出漏洞 CVE-2012-0158: Microsoft Office的ActiveX 控件破坏漏洞 CVE-2010-3333: Microsoft Office RTF文档栈溢出漏洞 CVE-2009-3129: Microsoft Office 兼容包远程攻击漏洞