美国国家安全局、联邦调查局和CISA与英国国家网络安全中心(NCSC)合作,发布了一份报告,详细描述了他们为什么以及如何认为俄罗斯军队是大规模暴力袭击的幕后黑手全球政府和私营部门公司的云IT资源。报告指出:
至少从2019年年中到2021年初,俄罗斯总参谋部主情报局(GRU)第85主特别服务中心(GTsSS),军事单位26165,使用Kubernetes®集群对全球数百个政府和私营部门目标进行广泛、分布式和匿名的暴力破解尝试。
这些机构将矛头指向俄罗斯总参谋部主要情报局(通常称为GRU)的26165军事单位,你会发现这些单位通常被称为花式熊、APT28、锶和其他一些名字。
目标
大多数被点名的活动针对的是使用Microsoft Office 365云服务的组织,但攻击肯定不限于这些组织。他们还针对使用各种不同协议的其他服务提供商和本地电子邮件服务器。我是故意用现在时的,因为这些攻击几乎肯定还在继续。
据说这场运动的目标是数百个美国和外国组织,包括美国政府和国防实体。虽然目标的总和本质上是全球性的,但主要集中在美国和欧洲的实体。
该方法
该报告包括一个解释最流行的攻击方法的图形。
一些攻击使用了允许远程代码执行(RCE)的已知漏洞,而另一些攻击则是从试图通过密码喷洒来识别有效凭据开始的。密码喷洒涉及对大量帐户使用有限的凭证列表,如果你不在乎接管哪些帐户,这是一种蛮力战术。
袭击是从库伯内特的一个集群发动的。Kubernetes集群是一个“容器编排”系统,用于运行大量的集装箱运输应用。集群中的应用程序使用TOR和商业VPN服务来避免暴露其IP地址。
一旦初始访问得到了保护,攻击者就会使用各种众所周知的策略、技术和过程(ttp)来升级特权、建立持久性、横向移动和收集额外信息。
如果攻击者发现的任何云服务凭据具有足够的特权,则会使用它们来过滤数据。如果这不是一个选项,例如,当邮件未在云中处理时,threat actor使用reGeorg web shell的修改和模糊版本来保持对目标Outlook web access服务器的持久访问。reGeorg webshell为intranet渗透创建socks代理,因此可以用作获得持久性的手段。
缓解和检测
该报告包含一些缓解方法,但特别呼吁多因素认证(MFA).
网络管理员应该采用并扩大多因素身份验证的使用,以帮助对抗这种能力的有效性。其他缓解措施,以确保强大的访问控制,包括超时和锁定功能…
MFA阻止了密码喷洒和其他形式的暴力攻击。不管你的密码列表有多长,或者你尝试了多少次密码,如果你没有用户的第二个认证因素,比如数字代码或指纹,你就无法访问。暂停和锁定通过减少攻击者的猜测次数,这些功能对于增强弱密码非常有用。
报告还提到强制使用强密码是一种有效的缓解措施。是的,但如果这很容易,其他缓解措施就没有必要了。以强密码为目标,但计划坏密码。
报告中提到的其他缓解方法包括:
- 实现一个零信任安全模型.
- 验证码,当需要人机交互时。
- 用于检测异常认证活动的分析。
出于检测目的,报告列出了攻击者使用的合法用户代理字符串的一些不完整或截断版本:
Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/70.Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/70.0.3538.110 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0 Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_1) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.1 Safari/605.1.15 Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7162; Pro Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7166; Pro) Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7143; Pro) Microsoft Office/15.0 (Windows NT 6.1; Microsoft Outlook 15.0.4605; Pro)该报告还提供了一个雅拉规则匹配角色使用的reGeorg变体web shell。
$ pagellanguage = "<%@ Page Language= " c# \"" $obfuscationFunction = "StrTr" $target = "target_str" $IPcomms = "System.Net. net . "" $addHeader = "响应。AddHeader" $socket = " socket " condition: 5 of them}
该报告警告说,由于web shell是公开可用的,因此该规则不唯一支持GRU活动。
评论