俄罗斯政府支持的高级黑客持续攻击美国政府网络
2020-10-26 17:39:00 Author: paper.seebug.org(查看原文) 阅读量:249 收藏

原文链接:https://us-cert.cisa.gov/ncas/alerts/aa20-296a
作者:知道创宇404实验室翻译组

前言

由联邦调查局(FBI)和网络安全基础设施安全局(CISA)联合撰写的网络安全报告书,记载有关俄罗斯政府支持的、针对美国政府及航空网络的恶意攻击事件。该报告书持续更新CISA-FBI联合网络安全的相关信息。(AA20-283A:APT黑客针对SLTT、重点基础设施和选举活动的漏洞链接

最早从2020年9月起,由俄罗斯政府支持的、被称为Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就开展了针对美国政府的网络攻击。该APT黑客企图攻击多个SLTT组织并成功破坏了其网络基础设施,截至2020年10月1日,已窃取了至少两台服务器的数据。APT黑客正在获取用户和管理员认证以建立永久访问权限,以确定并窃取高价值数据。该黑客通过SLTT受攻击网络访问了以下内容:

  • 网络配置和密码。
  • 标准操作程序(SOP),如多重身份验证(MFA)。
  • IT指令,如密码重置。
  • 供应商和购买信息。
  • 打印访问徽章。

迄今为止,FBI和CISA暂无证据表明该APT黑客有意破坏航空、教育、选举或政府的运营。但黑客可能正在寻求机会以干扰美国政治。虽然FBI和CISA尚未证实SLTT政府网络存储的选举数据受到损害,但仍存在一定的泄露风险。FBI和CISA将继续监视此攻击活动。

  • 单击此处以获取此报告的PDF版本
  • 单击此处以获取IOC的STIX软件包

技术细节

FBI和CISA观察到,该APT黑客使用土耳其IP地址213.74.101.65ZoomEye搜索结果)、213.74.139.196ZoomEye搜索结果)和212.252.30.170ZoomEye搜索结果)连接受攻击的网络服务器([ T1190 ])。使用213.74.101.65ZoomEye搜索结果)和213.74.139.196ZoomEye搜索结果)试图登录,并在被攻击网站上注入结构化查询语言(SQL),托管在美国注册的针对SLTT政府(Drive-By Compromise [ T1189 ])的恶意域名。

APT黑客利用Citrix目录遍历错误(CVE-2019-19781) 和Microsoft Exchange远程代码执行缺陷(CVE-2020-0688),扫描了并确定易受攻击的Citrix和Microsoft Exchange服务器和系统。

黑客使用Cisco AnyConnect安全套接字层(SSL)虚拟网络(VPN)连接以远程登录被攻击网络,这可能是Exim简邮件传输(SMTP)漏洞引起的(CVE 2019- 10149)(外部远程服务[ T1133 ])。最近,APT黑客利用了Fortinet VPN漏洞(CVE-2018-13379)和Windows Netlogon漏洞(CVE-2020-1472)获取对Windows Active Directory(AD)服务器的高级访问权限[ TA0004 ](有效帐户[ T1078]),还利用漏洞持续[ TA0003 ]破坏其他网络设备(横向移动[ TA0008 ])。

二月初至九月中旬,该APT黑客利用213.74.101.65ZoomEye搜索结果)、212.252.30.170ZoomEye搜索结果)、5.196.167.184ZoomEye搜索结果)、37.139.7.16ZoomEye搜索结果)、149.56.20.55ZoomEye搜索结果)、91.227.68.97ZoomEye搜索结果)和5.45.119.124ZoomEye搜索结果)攻击美国SLTT政府网络。在被攻击网络(帐户[ T1078 ])上已观察到其身份验证。

缓解措施

Indicators of Compromise

APT黑客使用以下IP地址和域进行网络攻击:

IP地址51.159.28.101ZoomEye搜索结果)似乎已配置为接收被攻击Windows New Technology局域网管理器(NTLM)凭据。FBI和CISA建议采取防御措施以减小泄露NTLM数据的风险;应特别禁用NTLM或限制NTLM,还应考虑禁止访问IP地址51.159.28.101ZoomEye搜索结果)(APT黑客可能已建立其他基础设施点,因此可能无法减轻风险)。检查IP地址的进出流量,以51.159.28.101ZoomEye搜索结果)了解数据收集活动,还应监视服务器消息块(SMB)或WebDAV活动,将网络转移到其他IP地址。

下载的IOC副本,请参阅AA20-296A.stix

网络防御

网络防御和遵守信息安全规则可降低网络攻击的风险。以下为相关措施:

  • 更新应用程序,优先外部应用程序和远程访问CVE-2019-19781,CVE-2020-0688、CVE 2019-10149、CVE-2018-13379和CVE-2020 -1472。有关这些CVE的补丁程序信息,请参阅表1。

*表1:CVE补丁程序信息

Vulnerability Vulnerable Products Patch Information
CVE-2019-19781 Citrix Application Delivery ControllerCitrix GatewayCitrix SDWAN WANOP Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway versions 11.1 and 12.0Citrix blog post: security updates for Citrix SD-WAN WANOP release 10.2.6 and 11.0.3Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway versions 12.1 and 13.0Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway version 10.5
CVE-2020-0688 Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30Microsoft Exchange Server 2013 Cumulative Update 23Microsoft Exchange Server 2016 Cumulative Update 14Microsoft Exchange Server 2016 Cumulative Update 15Microsoft Exchange Server 2019 Cumulative Update 3Microsoft Exchange Server 2019 Cumulative Update 4 Microsoft Security Advisory for CVE-2020-0688
CVE-2019-10149 Exim versions 4.87–4.91 Exim page for CVE-2019-10149
CVE-2018-13379 FortiOS 6.0: 6.0.0 to 6.0.4FortiOS 5.6: 5.6.3 to 5.6.7FortiOS 5.4: 5.4.6 to 5.4.12 Fortinet Security Advisory: FG-IR-18-384
CVE-2020-1472 Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2016Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation) Microsoft Security Advisory for CVE-2020-1472
  • 遵循Microsoft有关Netlogon漏洞CVE-2020-1472指南
  • 如网络允许,在所有版本的SMB和相关外部通信上,禁止端口为139、445的Transmission Control Protocol (TCP) 、端口为137的User Datagram Protocol (UDP)。相关操作请参阅SMB上的CISA。
  • 预防措施如下:
  • CISA警报TA15-314A –受损的Web服务器和Web Shell –威胁意识和指导
  • 国家安全局网络安全信息表U / OO / 134094-20 –检测和防止Web Shell恶意软件
  • 在非军事区(DMZ)网络中隔离外部服务器;启用并检查访问记录。
  • 宣传正确使用电子邮件和网络的方法,突出信息分析。
  • 系统管理员限制Microsoft软件、AppLocker等软件,从指定应用程序执行应用程序控件,默认从PROGRAMFILESPROGRAMFILES(X86)WINDOWS文件夹运行应用程序。
  • 非特殊情况下,禁止远程(RDP)连接不受信任的外部地址并定期检查。

帐户重置

Microsoft已发布指南:对于泄露的NTLM密码或Kerberos帐户,需要两次重设密码才能找回。对于域管理员级别的账户,需要重置KRB-TGT“Golden Tickets”。

如果CVE-2020-1472 Netlogon发现账号滥用等异常迹象,APT黑客就被视为已损害了AD行政帐户。在这种情况下,不应完全信任AD forest,应部署新的forest。重新构建并加入新域才能在本地和Azure托管的AD实例中迁移感染主机。

请注意,完全重置AD目录困难又复杂,最好在前人的基础上完成。以下为指导步骤:

  1. 创建一个临时管理员帐户,将该帐户用于所有管理操作;

  2. 在执行其他操作之前重置Kerberos((krbtgt)密码; [ 1 ]

  3. 等待krbtgt重置传播到所有域控制器(时间可能有所不同)

  4. 重置所有帐户密码(密码应为15个随机分配的字符):

(1)用户帐户(强制重设,不重复使用旧密码)

(2)主机上的本地帐户(包括本地管理员密码解决方案[LAPS]未涵盖的本地帐户)

(3)服务帐号

(4)目录服务还原模式(DSRM)帐户

(5)域控制器机器帐户

(6)应用密码

  1. krbtgt再次重置密码

  2. 等待krbtgt重置到所有域控制器(时间可能有所不同)

  3. 重新启动域控制器

  4. 重新启动所有端点

应重置以下帐户:

  • AD Kerberos身份验证主(2x)
  • Active Directory帐户
  • Active Directory管理员帐户
  • Active Directory服务帐户
  • Active Directory用户帐户
  • 域控制器上的DSRM帐户
  • 非AD特权应用程序帐户
  • 非AD非特权应用程序帐户
  • 非Windows特权帐户
  • 非Windows用户帐户
  • Windows计算机帐户
  • Windows本地管理员

VPN漏洞

以下为保护VPN的建议:

  • 使用最新软件补丁和安全配置更新VPN、网络基础设施设备和远程设备。参阅CISA,了解修补程序和软件更新以及保护网络基础结构设备的安全技巧。
  • 在所有VPN连接上执行MFA以提高安全性。物理安全令牌是MFA最安全的形式,其次是基于身份验证应用程序的MFA。仅当没有其他可用选项时,才应使用SMS和基于电子邮件的MFA,还要设置高强度密码。更多信息请参照CISA设置密码找回密码指南。

禁用未使用过的VPN服务器以减少可攻击范围,参考以下操作:

  • 审核配置和补丁程序管理程序。
  • 监视网络流量中是否存在未经批准的记录,尤其是Internet出站记录。(例如Secure Shell [SSH]、SMB、RDP)
  • 执行MFA,特别是高级帐户。
  • 在单独管理工作站上使用单独管理帐户。
  • 软件更新至最新版本。

联系方式

举报相关可疑活动,请通过以下网址联系:www.fbi.gov/contact-us/field或致电联邦调查局CyWatch:(855)292-3937,还可以通过电子邮件发送至[email protected]。请提供有关事件的日期、时间、地点、类型、受影响人数、设备类型、公司或组织名称以及联系方式。请求相关网络攻击事件响应资源或技术援助,请通过[email protected]与CISA联系。

相关链接

参考文献

[1]微软:AD Forest Recovery-重置krbtgt密码

Revisions

2020年10月22日:初版

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1383/


文章来源: https://paper.seebug.org/1383/
如有侵权请联系:admin#unsafe.sh