美国对关键基础设施的网络攻击警告
根据美国政府报告,高级持续威胁(APTS)是针对能源,核,水,航空和关键制造业的政府实体和组织。
美国国土安全部(DHS)和联邦调查局(FBI)颁发的报告载有妥协(IOC)和关于威胁署人工人使用的策略,技术和程序(TTP)的技术细节的指标受害者的网络。
关于关键国家基础设施(CNI)的网络攻击是对大多数政府的关注,并于2017年8月,英国政府宣布正在考虑与网络安全差的CNI提供者相同的综合罚款。
未能实施有效网络安全措施的基本服务提供者可根据英国政府审议的措施,超过1700万英镑或4%的全球营业额。
基础设施安全计划被视为2017年8月8日的数字,文化,媒体和体育(DCMS)的分析的一部分,以决定如何实施欧盟(欧盟)的网络和信息系统(NIS)指令2018年。
2017年6月,一份报告Bysecurity认证班次概述了,缺乏基于标准的技术安全测试,将工业控制环境和危重国家基础设施造成网络攻击的风险。
根据联合DHS / FBI报告,APT活动似乎是威胁演员的多级入侵运动,针对低安全和小型网络,以获得能源部门内的主要高价值资产所有者网络的访问权限和横向移动。
该报告称,基于恶意软件分析和观察到的IOC,该报告称DHS认为,这项活动始于2017年5月,仍然正在进行,威胁行为者正在积极追求他们的最终目标。
IOCs表示蜻蜓黑客集团,该集团已与欧洲,美国和加拿大的攻击攻击有关,可能会对该活动负责。
该报告旨在教育网络防御者并使他们能够识别和减少暴露于恶意活动。
该报告称,这项活动包括两个不同类别的受害者:分期和预期目标。最初的受害者是外围组织,如信任的第三方供应商,网络不太安全的网络。
威胁演员在针对他们最终预期的受害者时使用暂停目标的网络作为枢轴点和恶意软件存储库
这项活动中的威胁演员雇用了各种TTP,包括:
开源侦察,正在收集在公司控制的网站上发布的信息。来自受到恶意附件的受损合法账户的矛网络钓鱼电子邮件。喷壶攻击,涉及损害可信组织的基础设施,并将恶意内容发布以达到预期目标。基于主机的剥削。工业控制系统(ICS)基础设施靶向。正在进行的凭据聚会。在实现进入分期目标后,该报告称,威胁演员安装了工具以执行其使命。
有一次,威胁演员安装了FortiClient的免费版本,这被认为是预期目标的VPN客户,并且与凭据收获的目标一致,观察到威胁演员丢弃和执行潮热的开源和免费工具,秘密块和crackmapexec。
威胁演员通过操纵.lnk文件来实现持久性,重复收集用户凭据。默认Windows功能使得要从本地Windows存储库加载图标。
威胁演员通过将图标路径设置为遥控服务器来利用此内置Windows功能。当用户浏览到目录时,Windows尝试加载图标并发起SMB(服务器消息块协议)认证会话。在此过程中,活动用户的凭据通过尝试的SMB连接传递。
报告称,威胁演员在虚拟桌面基础设施(VDI)和传统环境中使用了这一策略。
威胁演员通常使用Web Shell来危及公开的可用服务器以获得立足点进入内部网络。在Web和电子邮件服务器上都观察到此活动。然后,威胁演员将通过端口443建立加密连接到Web shell。连接后,威胁参与者将额外的恶意文件从威胁演员的服务器下载到公开的服务器。
在获得预期受害者的访问时,威胁演员在网络中进行了侦察操作。具体来说,威胁演员专注于识别和浏览预期受害者网络中的文件服务器。威胁演员观看了与ICS(工业控制系统)或监督控制和数据采集(SCADA)系统有关的文件。
Joel Brenner(MIT)高级研究研究员据乔尔布伦纳(Joel Brenner)(MIT)高级研究研究员,据依靠工业控制系统(ICS)的依赖于工业控制系统(IC)的临界部门,可能对所有部门的潜在灾难性的人类和经济影响。
“承担这些袭击的能力现在掌握在犯罪组织以及国家各国的手中,”他告诉欧伯克欧洲网络安全迫使克拉科夫。
“虽然有一定程度的威慑力影响国家各国从事这些东西,但美国安全局(NSA)的前检察官Brenner说,威慑不适用于犯罪组织。
DHS / FBI报告中的一般最佳实践建议包括:
通过阻止具有相关UDP端口137的TCP端口139和445,防止在网络边界处的所有版本的SMB和相关协议的外部通信.Block上的Web的分布式创作和版本控制(WebDAV)协议.Monitor VPN日志为异常活动。将Web和电子邮件过滤器上的网络和电子邮件过滤器.Segumment从业务系统和网络中的任何关键网络或控制系统。审查适用于入口和出口点的可见性。要使用PowerShell版本5的使用,具有增强的日志启用.IMPLEMENT预防,检测和缓解策略。建立一个培训机制,向用户通知用户正确的电子邮件和网络使用情况,并提供有关如何报告异常或可疑电子邮件的清晰说明.IMPLEMENT应用程序目录WHITELISTING.BLOCH RDP连接源自不受信任的RDP连接外部地址。至少一年的任务关键系统的系统日志。审查应用程序是CONPD记录事件响应调查的适当细节级别.BESTISH最小权限控件。正在为Active Directory域和企业管理员帐户的数量进行标记.RESET所有用户,管理员和服务帐户凭据,并为所有用户都需要复杂的密码用于网络管理的帐户的帐户没有外部连接。网络管理员使用非特权帐户用于电子邮件和Internet访问。为所有身份验证的双因素身份验证。使用特权帐户进行的日志记录和审核活动的过程。启用Lealging并提醒权限升级和角色更改。公开可用信息的搜索,以确保没有披露敏感信息。创建并参与信息共享计划。