E安全4月19日訊 美國與英國於2018年4月16日發佈一份聯合技術警報, 其中詳盡闡述了“俄羅斯國家支持型駭客利用各類網路通訊協定入侵目標群組織”的具體過程及更多細節, 其中包括被利用的多種網路通訊協定。
英美聯合調查根據美國國土安全部(簡稱DHS)、聯邦調查局(簡稱FBI)以及英國國家網路安全中心(簡稱NCSC)的調查結果, 俄羅斯駭客的攻擊目標包括路由器、交換機、防火牆以及網路入侵偵測系統(NIDS)。 其主要打擊對象包括政府與私營部門、關鍵基礎設施運營商及其互聯網服務供應商(ISP)。
報告指出, “FBI 方面高度確信,
本文源自E安全
DHS 與 FBI 方面發佈的第一份指責俄羅斯網路攻擊活動的報告為2016 年12月公佈的 GRIZZLY STEPPE 報告。
本次最新技術警報側重于俄羅斯威脅行為者所使用的具體戰術、技術及程式(TTP), 特別是俄羅斯在攻擊活動中利用的網路通訊協定。 根據美國當局的說法, 攻擊者能夠識別出易受攻擊的設備、提取其配置資訊、映射內部網路架構、獲取登錄憑證, 並利用此類資料以高許可權使用者身份訪問目標系統。 在此之後, 駭客會修改目標設備的固件、作業系統與配置,
在惡意活動的偵察階段, 攻擊者會掃描網路上的設備以查找接入互聯網埠及服務的設備。 其目標協定包括:
Telnet;
HTTP;
簡單網路管理協定(SNMP);
思科智慧安裝(SMI)協議。
在初始掃描期間收集到的資料將説明網路間諜們獲取關於目標設備及組織使用者的相關資訊。
在攻擊武器化與交付階段, 駭客會發送精心策劃的 SNMP 與 SMI 消息, 確保目標設備通過普通檔案傳輸通訊協定(TFTP)將其設定檔發送至攻擊控制下的伺服器處。 該設定檔可能包含密碼雜湊以及可供攻擊者利用的其它資訊。
攻擊者也可以通過暴力攻擊及其它方法獲取合法憑證, 這意味著其將能夠通過 Telnet、SSH 或者 Web 管理介面實現設備訪問。
思科智慧安裝用戶端屬於一款舊有實用工具, 允許使用者以自動化方式安裝新的思科交換機。 攻擊者可濫用 SMI 協議以修改運行有 IOS 及 IOS XE 軟體的交換機上的設定檔, 進而迫使目標設備執行重載、載入新的作業系統鏡像並執行高許可權命令。
自2016年以來, 駭客們一直在濫用存在配置錯誤的 SMI 安裝工具, 並在當時就公佈了一款相關工具。 研究人員們最近還發現, 智慧安裝方案亦受到一項高危安全性漏洞(CVE-2018-0171)的影響, 可導致遠端代碼執行——但目前尚無跡象表明此項漏洞已被用於實際攻擊。
思科公司自2016年以來已經向各組織使用者發出了關於智慧安裝方案的風險警告, 並在CVE-2018-0171曝光後再度提出新一輪警告。
各機構在報告中提到, 一旦利用竊取憑證或惡意作業系統鏡像中隱藏的後門完成設備訪問, 攻擊者即可通過自己的網路對受害者流量進行鏡像保存或重新定向。 網路間諜們還曾利用通用路由封裝(GRE)——由思科公司開發的隧道協定——協定發動中間人攻擊(MITM)。
這份技術警報指出, “網路攻擊者的操作範圍絕不限於對往來于受害者處的流量進行修改或阻斷。 儘管尚無相關報導, 但其它操縱活動在技術層面上同樣完全可行。 ”
這份由 FBI、DHS 以及 NCSC 聯合發佈的報告還包含一系列關於各類組織機構如何抵禦此類攻擊活動的具體建議。
注:本文由E安全編譯報導,轉載請注明原文地址
注:本文由E安全編譯報導,轉載請注明原文地址