原文鏈接:https://us-cert.cisa.gov/ncas/alerts/aa20-296a
作者:知道創宇404實驗室翻譯組

前言

由聯邦調查局(FBI)和網絡安全基礎設施安全局(CISA)聯合撰寫的網絡安全報告書,記載有關俄羅斯政府支持的、針對美國政府及航空網絡的惡意攻擊事件。該報告書持續更新CISA-FBI聯合網絡安全的相關信息。(AA20-283A:APT黑客針對SLTT、重點基礎設施和選舉活動的漏洞鏈接

最早從2020年9月起,由俄羅斯政府支持的、被稱為Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就開展了針對美國政府的網絡攻擊。該APT黑客企圖攻擊多個SLTT組織并成功破壞了其網絡基礎設施,截至2020年10月1日,已竊取了至少兩臺服務器的數據。APT黑客正在獲取用戶和管理員認證以建立永久訪問權限,以確定并竊取高價值數據。該黑客通過SLTT受攻擊網絡訪問了以下內容:

  • 網絡配置和密碼。
  • 標準操作程序(SOP),如多重身份驗證(MFA)。
  • IT指令,如密碼重置。
  • 供應商和購買信息。
  • 打印訪問徽章。

迄今為止,FBI和CISA暫無證據表明該APT黑客有意破壞航空、教育、選舉或政府的運營。但黑客可能正在尋求機會以干擾美國政治。雖然FBI和CISA尚未證實SLTT政府網絡存儲的選舉數據受到損害,但仍存在一定的泄露風險。FBI和CISA將繼續監視此攻擊活動。

  • 單擊此處以獲取此報告的PDF版本
  • 單擊此處以獲取IOC的STIX軟件包

技術細節

FBI和CISA觀察到,該APT黑客使用土耳其IP地址213.74.101.65ZoomEye搜索結果)、213.74.139.196ZoomEye搜索結果)和212.252.30.170ZoomEye搜索結果)連接受攻擊的網絡服務器([ T1190 ])。使用213.74.101.65ZoomEye搜索結果)和213.74.139.196ZoomEye搜索結果)試圖登錄,并在被攻擊網站上注入結構化查詢語言(SQL),托管在美國注冊的針對SLTT政府(Drive-By Compromise [ T1189 ])的惡意域名。

APT黑客利用Citrix目錄遍歷錯誤(CVE-2019-19781) 和Microsoft Exchange遠程代碼執行缺陷(CVE-2020-0688),掃描了并確定易受攻擊的Citrix和Microsoft Exchange服務器和系統。

黑客使用Cisco AnyConnect安全套接字層(SSL)虛擬網絡(VPN)連接以遠程登錄被攻擊網絡,這可能是Exim簡郵件傳輸(SMTP)漏洞引起的(CVE 2019- 10149)(外部遠程服務[ T1133 ])。最近,APT黑客利用了Fortinet VPN漏洞(CVE-2018-13379)和Windows Netlogon漏洞(CVE-2020-1472)獲取對Windows Active Directory(AD)服務器的高級訪問權限[ TA0004 ](有效帳戶[ T1078]),還利用漏洞持續[ TA0003 ]破壞其他網絡設備(橫向移動[ TA0008 ])。

二月初至九月中旬,該APT黑客利用213.74.101.65ZoomEye搜索結果)、212.252.30.170ZoomEye搜索結果)、5.196.167.184ZoomEye搜索結果)、37.139.7.16ZoomEye搜索結果)、149.56.20.55ZoomEye搜索結果)、91.227.68.97ZoomEye搜索結果)和5.45.119.124ZoomEye搜索結果)攻擊美國SLTT政府網絡。在被攻擊網絡(帳戶[ T1078 ])上已觀察到其身份驗證。

緩解措施

Indicators of Compromise

APT黑客使用以下IP地址和域進行網絡攻擊:

IP地址51.159.28.101ZoomEye搜索結果)似乎已配置為接收被攻擊Windows New Technology局域網管理器(NTLM)憑據。FBI和CISA建議采取防御措施以減小泄露NTLM數據的風險;應特別禁用NTLM或限制NTLM,還應考慮禁止訪問IP地址51.159.28.101ZoomEye搜索結果)(APT黑客可能已建立其他基礎設施點,因此可能無法減輕風險)。檢查IP地址的進出流量,以51.159.28.101ZoomEye搜索結果)了解數據收集活動,還應監視服務器消息塊(SMB)或WebDAV活動,將網絡轉移到其他IP地址。

下載的IOC副本,請參閱AA20-296A.stix

網絡防御

網絡防御和遵守信息安全規則可降低網絡攻擊的風險。以下為相關措施:

  • 更新應用程序,優先外部應用程序和遠程訪問CVE-2019-19781,CVE-2020-0688、CVE 2019-10149、CVE-2018-13379和CVE-2020 -1472。有關這些CVE的補丁程序信息,請參閱表1。

*表1:CVE補丁程序信息

Vulnerability Vulnerable Products Patch Information
CVE-2019-19781 Citrix Application Delivery ControllerCitrix GatewayCitrix SDWAN WANOP Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway versions 11.1 and 12.0Citrix blog post: security updates for Citrix SD-WAN WANOP release 10.2.6 and 11.0.3Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway versions 12.1 and 13.0Citrix blog post: firmware updates for Citrix ADC and Citrix Gateway version 10.5
CVE-2020-0688 Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30Microsoft Exchange Server 2013 Cumulative Update 23Microsoft Exchange Server 2016 Cumulative Update 14Microsoft Exchange Server 2016 Cumulative Update 15Microsoft Exchange Server 2019 Cumulative Update 3Microsoft Exchange Server 2019 Cumulative Update 4 Microsoft Security Advisory for CVE-2020-0688
CVE-2019-10149 Exim versions 4.87–4.91 Exim page for CVE-2019-10149
CVE-2018-13379 FortiOS 6.0: 6.0.0 to 6.0.4FortiOS 5.6: 5.6.3 to 5.6.7FortiOS 5.4: 5.4.6 to 5.4.12 Fortinet Security Advisory: FG-IR-18-384
CVE-2020-1472 Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2016Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation) Microsoft Security Advisory for CVE-2020-1472
  • 遵循Microsoft有關Netlogon漏洞CVE-2020-1472指南
  • 如網絡允許,在所有版本的SMB和相關外部通信上,禁止端口為139、445的Transmission Control Protocol (TCP) 、端口為137的User Datagram Protocol (UDP)。相關操作請參閱SMB上的CISA。
  • 預防措施如下:
  • CISA警報TA15-314A –受損的Web服務器和Web Shell –威脅意識和指導
  • 國家安全局網絡安全信息表U / OO / 134094-20 –檢測和防止Web Shell惡意軟件
  • 在非軍事區(DMZ)網絡中隔離外部服務器;啟用并檢查訪問記錄。
  • 宣傳正確使用電子郵件和網絡的方法,突出信息分析。
  • 系統管理員限制Microsoft軟件、AppLocker等軟件,從指定應用程序執行應用程序控件,默認從PROGRAMFILESPROGRAMFILES(X86)WINDOWS文件夾運行應用程序。
  • 非特殊情況下,禁止遠程(RDP)連接不受信任的外部地址并定期檢查。

帳戶重置

Microsoft已發布指南:對于泄露的NTLM密碼或Kerberos帳戶,需要兩次重設密碼才能找回。對于域管理員級別的賬戶,需要重置KRB-TGT“Golden Tickets”。

如果CVE-2020-1472 Netlogon發現賬號濫用等異常跡象,APT黑客就被視為已損害了AD行政帳戶。在這種情況下,不應完全信任AD forest,應部署新的forest。重新構建并加入新域才能在本地和Azure托管的AD實例中遷移感染主機。

請注意,完全重置AD目錄困難又復雜,最好在前人的基礎上完成。以下為指導步驟:

  1. 創建一個臨時管理員帳戶,將該帳戶用于所有管理操作;

  2. 在執行其他操作之前重置Kerberos((krbtgt)密碼; [ 1 ]

  3. 等待krbtgt重置傳播到所有域控制器(時間可能有所不同)

  4. 重置所有帳戶密碼(密碼應為15個隨機分配的字符):

(1)用戶帳戶(強制重設,不重復使用舊密碼)

(2)主機上的本地帳戶(包括本地管理員密碼解決方案[LAPS]未涵蓋的本地帳戶)

(3)服務帳號

(4)目錄服務還原模式(DSRM)帳戶

(5)域控制器機器帳戶

(6)應用密碼

  1. krbtgt再次重置密碼

  2. 等待krbtgt重置到所有域控制器(時間可能有所不同)

  3. 重新啟動域控制器

  4. 重新啟動所有端點

應重置以下帳戶:

  • AD Kerberos身份驗證主(2x)
  • Active Directory帳戶
  • Active Directory管理員帳戶
  • Active Directory服務帳戶
  • Active Directory用戶帳戶
  • 域控制器上的DSRM帳戶
  • 非AD特權應用程序帳戶
  • 非AD非特權應用程序帳戶
  • 非Windows特權帳戶
  • 非Windows用戶帳戶
  • Windows計算機帳戶
  • Windows本地管理員

VPN漏洞

以下為保護VPN的建議:

  • 使用最新軟件補丁和安全配置更新VPN、網絡基礎設施設備和遠程設備。參閱CISA,了解修補程序和軟件更新以及保護網絡基礎結構設備的安全技巧。
  • 在所有VPN連接上執行MFA以提高安全性。物理安全令牌是MFA最安全的形式,其次是基于身份驗證應用程序的MFA。僅當沒有其他可用選項時,才應使用SMS和基于電子郵件的MFA,還要設置高強度密碼。更多信息請參照CISA設置密碼找回密碼指南。

禁用未使用過的VPN服務器以減少可攻擊范圍,參考以下操作:

  • 審核配置和補丁程序管理程序。
  • 監視網絡流量中是否存在未經批準的記錄,尤其是Internet出站記錄。(例如Secure Shell [SSH]、SMB、RDP)
  • 執行MFA,特別是高級帳戶。
  • 在單獨管理工作站上使用單獨管理帳戶。
  • 軟件更新至最新版本。

聯系方式

舉報相關可疑活動,請通過以下網址聯系:www.fbi.gov/contact-us/field或致電聯邦調查局CyWatch:(855)292-3937,還可以通過電子郵件發送至CyWatch@fbi.gov。請提供有關事件的日期、時間、地點、類型、受影響人數、設備類型、公司或組織名稱以及聯系方式。請求相關網絡攻擊事件響應資源或技術援助,請通過Central@cisa.dhs.gov與CISA聯系。

相關鏈接

參考文獻

[1]微軟:AD Forest Recovery-重置krbtgt密碼

Revisions

2020年10月22日:初版

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1383/