美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activity),与上次的联合分析报告(JAR-16-20296)不同,此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。

这些证据涉及攻击活动的前期踩点侦查、攻击程序武器化、恶意文件传播、漏洞利用、驻留程序安装、C&C控制、目标攻击行为和检测响应等方面,通过入侵指纹、恶意代码、网络行为等特征,全方位描述和刻画了整个“灰熊草原”(GRIZZLY STEPPE)网络攻击活动,值得参考研究。

该报告所呈现证据,由美国DHS下属的国家网络安全和通信整合中心(NCCIC)联合跨部门合作机构和其它监测“灰熊草原”活动的第三方私营公司综合而成。

报告概要

在JAR-16-20296和本报告之前,一些网络安全和威胁研究公司已经发布了大量关于“灰熊草原”(GRIZZLY STEPPE)攻击活动的分析报告。

在此,为了更好地了解APT28和APT29的网络攻击行为,DHS鼓励广大网络安全专家、威胁分析研究者或普通民众积极获取这些公开报告,从中发现攻击的TTPs属性,进一步防御“灰熊草原”攻击活动。

以下是部分关于“灰熊草原”攻击活动的公开报告清单,仅供参考,不代表美国政府支持或认可特定产品或供应商:

技术证据分析

DHS分析师采用网络攻击链( Cyber Kill Chain )模式对攻击活动进行分析、讨论和识别,通过Cyber Kill Chain的7个判断步骤,利用技术性证据,详细描述了整个“灰熊草原”攻击活动。

前期踩点侦查

攻击者采用多种侦测方法确定了最佳入侵目标,这些方法包括网络漏洞扫描、用户凭据窃取、注册与目标组织机构网站相似域名等,其中注册的相似域名(又称typo-squatting攻击)又以钓鱼邮件链接的方式发送给了目标受害者,实现引诱欺骗,进而达到窃取受害者相关账号密码目的。

DHS在此警告相关机构组织应重视此类攻击。

而且,在2016年大选前期,DHS发现了一些可疑的网络扫描活动,这些扫描活动着重判断目标网站系统的XSS和SQL漏洞情况。

一旦识别到漏洞存在,攻击者就会利用这些漏洞进一步入侵目标网络。网络边界扫描是攻击活动的前兆。

“灰熊草原”攻击者使用的另外一种方法是,通过公开的网络基础设施架构临时、中转或钓鱼网站页面,进行目标用户的密码凭据信息收集和存储。

攻击程序武器化

据报道,2014年攻击者首先利用了名为OnionDuke的恶意软件开始了网络攻击行为,从这个阶段开始,一些安全分析研究者就有所察觉。“灰熊草原”攻击程序的武器化方法主要为:

对某些网站进行代码注入实行“水坑攻击” 制作包含恶意宏程序的Office文件 制作包含恶意flash代码的富文本格式(RTF)文档

恶意文件传播

主要使用钓鱼邮件附件或链接进行恶意文件传播,如以下附件格式、邮件主题、文件标题等:

efax, e-Fax, efax #100345(随机序列数组合) PDF, PFD, Secure PDF 时事主题,如“欧洲议会声明….”等 Microsoft Outlook Web Access(OWA)的钓鱼登录页面 网络威胁事件会议邀请 入侵合法站点设置包含恶意程序的软件下载 在种子站点提供被感染的盗版软件下载 利用TOR出口节点传播恶意文件

漏洞利用

“灰熊草原”攻击者利用了一系列CVE漏洞组合开发具有特定功能的恶意软件,这些CVE包括:

CVE-2016-7855: Adobe Flash Player UAF漏洞 CVE-2016-7255: Microsoft Windows 提权漏洞 CVE-2016-4117: Adobe Flash Player 远程攻击漏洞 CVE-2015-1641: Microsoft Office 内存破坏漏洞 CVE-2015-2424: Microsoft PowerPoint 内存破坏漏洞 CVE-2014-1761: Microsoft Office DoS(内存破坏)漏洞 CVE-2013-2729: Adobe Reader 和Acrobat 溢出漏洞 CVE-2012-0158: Microsoft Office的ActiveX 控件破坏漏洞 CVE-2010-3333: Microsoft Office RTF文档栈溢出漏洞 CVE-2009-3129: Microsoft Office 兼容包远程攻击漏洞

驻留程序安装

攻击者使用了多种方式植入恶意驻留程序,可以通过一些公开报告和对Sofacy和Onion Duke的研究发现。

近期,DHS分析了“灰熊草原”相关的17个PHP文件、3个执行程序和1个RTF文档,其中PHP文件是攻击者用来进行远程管理被入侵网站的webshell,RTF文档则内置了恶意可执行程序。(分析结果标记为MIFR-10105049)

C&C控制

攻击者利用C&C方式进一步安装特定恶意程序和控制管理,这些C&C方式一般通过被入侵网站或公开的网络基础设施来进行中转,如短链接网站服务、TOR隐蔽服务等,但大多为通过IP或域名反弹方式连接管理植入程序。

目标攻击行为

攻击者在不同的攻击目标和活动中使用了多种恶意植入程序,通过这些程序实现敏感数据、邮件和用户凭据窃取等目的。

检测响应

DHS依据被攻击主机和网络检测响应机制发现的技术性证据,这些证据包括攻击者使用的恶意代码、程序指纹和网络行为等信息,在报告附录中分析并列出了详细的,与APT28和APT29相关的入侵指标和YARA恶意软件匹配规则。

报告最后对相应的攻击给出了防御和缓解措施。

APT28和APT29技术性证据

包括一些SNORT规则、YARA规则和恶意代码指纹,如:

详细证据请参考原报告:AR-17-20045

*参考来源:US-CERT,FB小编clouds编译,转载请注明来自FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Bash破壳漏洞(ShellShock)再变身:针对邮件服务器SMTP攻击

Bash破壳漏洞(ShellShock,CVE-2014-6271)新的利用方法又来了!根据互联网风暴中心( SANS InternetStorm Center...

2335
来自专栏安恒信息

漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-...

2836
来自专栏北京马哥教育

初识常见DDOS攻击手段

一、什么是DDoS? DDoS攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。它是由一组恶意软件感染...

6119
来自专栏DT数据侠

4500个热门景点数据,告诉你国庆长假的正确打开姿势

国庆出游,确实是个让人头痛的问题。今天这位数据侠,不仅用数据告诉你国庆如何成功避开“people mountain people sea”,还手把手带你用Pyt...

950
来自专栏信安之路

APT 攻击链及事件响应策略

首先我们来思考一个问题,APT攻击事件和传统的网络攻击有什么明显区别呢?我相信,很多安全的小伙伴都会说,相比于传统的安全攻击事件来说,APT攻击事件更持久,更有...

2553
来自专栏玄魂工作室

Equation Group(方程式组织)

众所周知,Equation Group这一黑客团伙与美国国家安全局(NSA)的关系一直十分密切。而且外界也普遍认为,Equation Group是美国国家安全局...

36610
来自专栏黑白安全

WiFi联盟宣布WPA3协议已最终完成 安全性增加

WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。

612
来自专栏java达人

网络攻击是如何运作的—一份完整的列表 ( 2 )

作者:PAUL CUCU 译者:java达人 来源:https://heimdalsecurity.com/blog/cyber-attack/(点击阅读原文...

3465
来自专栏云基础安全

3分钟了解主机安全问题

《碟中谍4》中,位于迪拜塔137层的数据中心,网络防火墙是军用级别口令和硬件网关,破解防护困难。于是阿汤哥只身从130楼爬到137楼,进入数据中心,绕过防护设备...

6042
来自专栏安恒信息

国家.cn根域名服务器遭遇有史最大的DDOS攻击

25日凌晨,“.CN”域名经历“惊魂一夜”,多家网站及新浪微博客户端无法登录。中国互联网络信息中心(CNNIC)新浪认证微博25日10时30分许确认了...

4306

扫码关注云+社区

领取腾讯云代金券