美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》
近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activity),与上次的联合分析报告(JAR-16-20296)不同,此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。
这些证据涉及攻击活动的前期踩点侦查、攻击程序武器化、恶意文件传播、漏洞利用、驻留程序安装、C&C控制、目标攻击行为和检测响应等方面,通过入侵指纹、恶意代码、网络行为等特征,全方位描述和刻画了整个“灰熊草原”(GRIZZLY STEPPE)网络攻击活动,值得参考研究。
该报告所呈现证据,由美国DHS下属的国家网络安全和通信整合中心(NCCIC)联合跨部门合作机构和其它监测“灰熊草原”活动的第三方私营公司综合而成。
报告概要
在JAR-16-20296和本报告之前,一些网络安全和威胁研究公司已经发布了大量关于“灰熊草原”(GRIZZLY STEPPE)攻击活动的分析报告。
在此,为了更好地了解APT28和APT29的网络攻击行为,DHS鼓励广大网络安全专家、威胁分析研究者或普通民众积极获取这些公开报告,从中发现攻击的TTPs属性,进一步防御“灰熊草原”攻击活动。
以下是部分关于“灰熊草原”攻击活动的公开报告清单,仅供参考,不代表美国政府支持或认可特定产品或供应商:
技术证据分析
DHS分析师采用网络攻击链( Cyber Kill Chain )模式对攻击活动进行分析、讨论和识别,通过Cyber Kill Chain的7个判断步骤,利用技术性证据,详细描述了整个“灰熊草原”攻击活动。
前期踩点侦查
攻击者采用多种侦测方法确定了最佳入侵目标,这些方法包括网络漏洞扫描、用户凭据窃取、注册与目标组织机构网站相似域名等,其中注册的相似域名(又称typo-squatting攻击)又以钓鱼邮件链接的方式发送给了目标受害者,实现引诱欺骗,进而达到窃取受害者相关账号密码目的。
DHS在此警告相关机构组织应重视此类攻击。
而且,在2016年大选前期,DHS发现了一些可疑的网络扫描活动,这些扫描活动着重判断目标网站系统的XSS和SQL漏洞情况。
一旦识别到漏洞存在,攻击者就会利用这些漏洞进一步入侵目标网络。网络边界扫描是攻击活动的前兆。
“灰熊草原”攻击者使用的另外一种方法是,通过公开的网络基础设施架构临时、中转或钓鱼网站页面,进行目标用户的密码凭据信息收集和存储。
攻击程序武器化
据报道,2014年攻击者首先利用了名为OnionDuke的恶意软件开始了网络攻击行为,从这个阶段开始,一些安全分析研究者就有所察觉。“灰熊草原”攻击程序的武器化方法主要为:
对某些网站进行代码注入实行“水坑攻击”
制作包含恶意宏程序的Office文件
制作包含恶意flash代码的富文本格式(RTF)文档
恶意文件传播
主要使用钓鱼邮件附件或链接进行恶意文件传播,如以下附件格式、邮件主题、文件标题等:
efax, e-Fax, efax #100345(随机序列数组合)
PDF, PFD, Secure PDF
时事主题,如“欧洲议会声明….”等
Microsoft Outlook Web Access(OWA)的钓鱼登录页面
网络威胁事件会议邀请
入侵合法站点设置包含恶意程序的软件下载
在种子站点提供被感染的盗版软件下载
利用TOR出口节点传播恶意文件
漏洞利用
“灰熊草原”攻击者利用了一系列CVE漏洞组合开发具有特定功能的恶意软件,这些CVE包括:
CVE-2016-7855: Adobe Flash Player UAF漏洞
CVE-2016-7255: Microsoft Windows 提权漏洞
CVE-2016-4117: Adobe Flash Player 远程攻击漏洞
CVE-2015-1641: Microsoft Office 内存破坏漏洞
CVE-2015-2424: Microsoft PowerPoint 内存破坏漏洞
CVE-2014-1761: Microsoft Office DoS(内存破坏)漏洞
CVE-2013-2729: Adobe Reader 和Acrobat 溢出漏洞
CVE-2012-0158: Microsoft Office的ActiveX 控件破坏漏洞
CVE-2010-3333: Microsoft Office RTF文档栈溢出漏洞
CVE-2009-3129: Microsoft Office 兼容包远程攻击漏洞
驻留程序安装
攻击者使用了多种方式植入恶意驻留程序,可以通过一些公开报告和对Sofacy和Onion Duke的研究发现。
近期,DHS分析了“灰熊草原”相关的17个PHP文件、3个执行程序和1个RTF文档,其中PHP文件是攻击者用来进行远程管理被入侵网站的webshell,RTF文档则内置了恶意可执行程序。(分析结果标记为MIFR-10105049)
C&C控制
攻击者利用C&C方式进一步安装特定恶意程序和控制管理,这些C&C方式一般通过被入侵网站或公开的网络基础设施来进行中转,如短链接网站服务、TOR隐蔽服务等,但大多为通过IP或域名反弹方式连接管理植入程序。
目标攻击行为
攻击者在不同的攻击目标和活动中使用了多种恶意植入程序,通过这些程序实现敏感数据、邮件和用户凭据窃取等目的。
检测响应
DHS依据被攻击主机和网络检测响应机制发现的技术性证据,这些证据包括攻击者使用的恶意代码、程序指纹和网络行为等信息,在报告附录中分析并列出了详细的,与APT28和APT29相关的入侵指标和YARA恶意软件匹配规则。
报告最后对相应的攻击给出了防御和缓解措施。
APT28和APT29技术性证据
包括一些SNORT规则、YARA规则和恶意代码指纹,如:
详细证据请参考原报告:AR-17-20045
*参考来源:US-CERT,FB小编clouds编译,转载请注明来自FreeBuf.COM。