会让机构面临网络安全风险的七个步骤

2018年3月15日，美国国土安全部（DHS）和联邦调查局（FBI）就俄罗斯政府网络活动发布技术警报，这些网络活动针对能源、海洋、航空和其他制造业部门。

此警报通过提供完整的预排工作，展示机构网络是如何遭受安全风险，同时提供检测和预防建议，以督促网络维护者提高其识别风险，降低恶意活动风险的能力。Clyde&Co国际律师事务所的合伙人Joe Walsh和助理David Shyu解释了此次警报发布的关键点。

如上所述，美国国土安全部和联邦调查局将这些网络活动定义为“俄罗斯政府网络行动者的多阶段入侵运动”，目的是进入机构的网络控制。入侵阶段是：

1.侦查：网络行动者通过访问公开可用的信息，故意选择“阶段性目标”，即原先与预定目标保持关系的机构。网络行动者使用看似无害的信息，例如人力资源页面的小照片，但却可以收集操作上敏感的信息，启动下一阶段的攻击。

2.武器研制：网络行动者利用来自易受攻击阶段性目标的盗用信息，开发有针对性的网络钓鱼邮件或制定漏洞来针对预期目标进行攻击。

3.交付：网络行动者使用网络钓鱼邮件，例如，它包含一个通用合同协议主题（例如“协议和机密”）和一个名为“document.pdf”的通用PDF文档（需特别注意的是，后面两个无用信息是一个潜在有害文件的标志）。PDF并不是恶意软件，不包含任何激活代码，但它有一个缩短的统一资源定位符（URL），用户点击后便可跳转至提示用户输入其电子邮件地址和密码的网站。网络行动者还一直在使用钓鱼电子邮件，引导行业控制系统人员访问关键的网络控制。

4.开发：网络行动者通常使用独特而不寻常的策略，利用易受攻击的阶段性目标。例如，电子邮件包含连续的重定向，最终重定向到一个网站，该网站包含用于模拟网站登录页面的电子邮件地址和密码的输入字段。网络活动者捕获用户凭证的另一个常用策略是通过恶意的.docx文件。这些文件会被连接到他们控制的命令和控制服务器上，并提示用户使用他们的用户名和密码验证域的访问。

5.安装：一旦网络行动者获得了入侵受害者网络的盗用凭证，他们将在阶段性目标网络中创建本地管理员帐户，并开始将恶意文件作为预期目标。网路行动者在内部加入了密码破解和下载工具，以便收集尽可能多的信息，实现预期目标。网络行动者还可以操纵LNK文件，这种文件通常也称为Microsoft Window的快捷方式文件，可反复收集用户凭证。

6.指挥和控制阶段：网络行动者在预定目标的可公开访问的电子邮件和网络服务器上创建网站管理权限，作为进一步渗透预定目标网络的模板。

7.对目标实施行动：一旦网络行动者控制了阶段性目标的基础设施，他们就利用远程访问服务和程序（如VPN、RDP和网络访问）连接到预期目标。在获得预定目标后，网络行动者使用各种脚本和命令开始内部侦察和抽取敏感信息。为了避免被发现，网络行动者创建新账户来执行清理操作，覆盖他们的踪迹，使得安全响应更加难以发现这些持续攻击。

为了防止这些网络攻击，国土资源部和联邦调查局建议，网络管理员应检查提供的IP地址、域名、文件散列值和YARA / Snort签名，监视机构内被恶意攻击的时间。检查网络外围网络流量也有助于鉴定网络内是否存在可疑活动。