针对 US-CERT AA22-011A 和 AA22-047A 的攻击图响应:为俄罗斯国家支持的网络威胁做好准备

发表评论 / AttackIQ, MITRE, 信息安全产品, 信息安全文章

由于预计俄罗斯政府对美国及其盟国利益的网络攻击会不断升级,AttackIQ开发了一个新的攻击图,以帮助组织测试和验证其针对已知的俄罗斯对抗性战术,技术和程序(TTP)的网络防御。

原文链接:https://www.attackiq.com/2022/02/24/preparing-for-russian-state-sponsored-cyberthreats-to-u-s-and-allied-critical-infrastructure/

由于预计俄罗斯政府对美国及其盟国利益的网络攻击会不断升级,AttackIQ开发了一个新的攻击图,以帮助组织测试和验证其针对已知的俄罗斯对抗性战术,技术和程序(TTP)的网络防御。组织可以使用此攻击图和 AttackIQ 安全优化平台中其他以俄罗斯威胁参与者为中心的攻击图,针对已知行为对其人员、流程和技术进行锻炼,以确保其网络防御按预期执行,并提高其总体安全计划性能。

此攻击图遵循美国计算机应急响应小组(US-CERT)关于俄罗斯政府在网络空间正在进行的活动的警报。2022年2月16日,US-CERT发布了一份联合网络安全咨询(CSA),报告称俄罗斯威胁行为者在2020年1月至2022年2月期间继续针对美国批准的国防承包商。CSA是1月份发布的早期公告的后续,该公告概述了先前的CISA / US-CERT和ICS-CERT公告,警报,恶意软件分析报告和联合公告中涵盖的众多俄罗斯高级持续性威胁参与者所采用的顶级观察到的TTP。

根据公布的信息,国家赞助的俄罗斯网络威胁行为者已经瞄准了国际上各种关键基础设施组织,包括国防工业基地以及医疗保健,公共卫生,能源,电信和政府设施部门。 微软观察到,大约58%的网络攻击起源于俄罗斯的威胁行为者。这些对手通常被归类为创新者,因为他们有能力创建和利用零日漏洞,以及他们执行供应链妥协的能力。俄罗斯国家赞助的威胁行为者采用各种各样的技术,专注于访问凭据以破坏其目标并获得特权访问,从利用面向公众的应用程序中的漏洞到获得初始访问权限,再到使用众所周知的技术,如网络钓鱼和密码喷涂。

攻击IQ开发了一个攻击图,以响应最近的美国CERT通报。此攻击图是将常见的硬打击俄罗斯和俄罗斯国家赞助的威胁行为者 TTP 汇总到单个攻击图中。这种单一、高效的攻击图使组织有机会提高其安全程序性能并打破多个高级攻击者的杀伤链。

通过使用 AttackIQ 安全优化平台并模拟俄罗斯的活动,此攻击图将帮助安全团队:

1)根据俄罗斯威胁行为者采用的常见凭据访问方法评估安全控制性能。

2)评估您的安全态势,防止对手试图在网络上横向移动。

3) 持续验证检测能力,以抵御来自响应安全控制预防措施的参与者的真实多阶段攻击。

此攻击图模拟了逼真的攻击。从系统发现开始,攻击图捕获完全活动目录域控制的对手意图。具体而言,攻击图采取以下步骤:

  1. 系统信息 (T1082) 和进程发现 (T1057):一旦实现初始访问,参与者将采取的第一步是获取有关受感染资产的情报。攻击图通过执行本机操作系统命令(如“系统信息”和“任务列表”)来模拟此行为。
  2. 操作系统凭据转储 (T1003):攻击图继续使用 PowerShell 版本的 Mimikatz 转储所有可用的凭据,参与者可以使用这些凭据从其初始立足点移动到目标环境的其余部分。
  3. 使用 WMI (T1047) 的横向移动:使用 Windows 管理规范 (WMI) 时,攻击图会尝试移动到它可以在本地网络中找到的其他主机上。
  4. 密码暴力破解 (T1110):如果凭据不允许使用 WMI 进行远程访问,则攻击图将透视并尝试暴力登录目标系统。
  5. 域信任发现 (T1482):为了扩展执行组件对目标的活动目录配置的了解,该图使用 PowerShell 收集有关域信任关系的信息,这些信息将允许执行组件使用其当前域中的凭据访问其他资源。此外,执行“寻血猎犬”是为了揭示目标活动目录环境中的隐藏关系。
  6. 利用远程服务 (T1210):访问域控制器是俄罗斯威胁组的主要目标之一。攻击图试图利用Zerologon漏洞获取域管理员权限。

除了攻击图中已经涵盖的内容外,这些俄罗斯威胁参与者还采用了两种高级技术,它们也是ExtigIQ平台的一部分。安全团队可以通过简单的克隆操作和插入这些行为轻松扩展此攻击图,或者如果他们的环境满足场景要求,他们可以为这些场景创建评估:

  1. Kerberoasting (T1558.003):威胁参与者利用 Kerberoasting 攻击来增加其权限,方法是发现分配给用户帐户的服务主体名称 (SPN) 并请求其票证授予服务 (TGS) 票证,以允许对特权资产进行登录访问。为了获得准确的结果,此方案需要评估中预先配置的现有凭据或已缓存 Kerberos 凭据的资产,例如最近针对域控制器对用户进行身份验证的系统。
  2. 转储 活动目录(AD) 数据库 (T1003.003): 威胁参与者的众多最终目标之一是获取 Active Directory 数据库的副本,以便可以脱机攻击该数据库。据观察,一旦获得管理访问权限,俄罗斯行为者就会从域控制器转储NTDS.dit数据库。此方案需要在域控制器资产上执行。

总之,此攻击图将评估安全和事件响应流程,并支持针对一系列基于俄罗斯的威胁参与者改进安全控制态势。通过持续测试和使用此攻击图生成的数据,您可以让您的团队专注于实现关键安全结果,调整安全控制,并努力提高针对已知和危险威胁的总体安全计划有效性。

AttackIQ随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面,包括通过我们的共同管理安全服务 AttackIQ 先

相关文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部