2月上旬,美国国土安全部(dhs)国家网络安全与通信整合中心(nccic)发布了一份新的报告,提供了额外的攻击指标(ioc)和使用网络杀伤链的分析,以检测和缓解俄系“灰熊大草原”黑客行动。
2016年12月29日,dhs和fbi就已发布了一份初步的《联合分析报告》(jar),描述这些被dhs称为“灰熊大草原”的俄罗斯黑客,在针对美国大选的攻击中所使用的工具和基础设施。然而,安全专家指出,这份之前的报告,并没有兑现其承诺。
虽然该原始报告包含了一系列ioc,有些人称,这些ioc质量低劣,对防御者没什么大用,而且是作为试图将攻击归罪给俄罗斯的政治工具来发布的。
新报告( https://www.us-cert.gov/sites/default/files/publications/ar-17-20045_enhanced_analysis_of_grizzly_steppe_activity.pdf )被dhs描述为:对“灰熊大草原”黑客团伙相关成员用来渗漏系统的方法进行透彻分析的一份分析报告(ar)。该报告提供了更多的ioc细节,以及对网络杀伤链各阶段的相应分析,并且提出了对抗“灰熊大草原”攻击者的具体缓解技术。
利用网络杀伤链分析“灰熊大草原”
网络杀伤链是洛克希德马丁公司创建来描述攻击各阶段的一个框架。dhs分析师利用该框架,用网络杀伤链中各个阶段对“灰熊大草原”的活动进行了总结,包括:侦察、武器化、投放、漏洞利用、安装、命令与控制,以及在目标上的行动。
网络威胁杀伤链
该报告还提供了详细的主机与网络特征,帮助防御者检测和缓解“灰熊大草原”相关活动,包括额外的yara规则和与攻击相关的ioc。
dhs之前曾称,该政治性攻击中牵涉了2个不同攻击者,其一是2015年夏天行动的apt29,另一个则是2016年春天的apt28。前者也被昵称为“安逸熊”或“安逸公爵”,后者花名“奇幻熊”、“兵风暴”、“锶”、sofacy、sednit和“沙皇团队”。
dhs建议:安全团队查阅关注“灰熊大草原”的不同机构产出的多份研究报告。
“虽然dhs没有认可任何一家公司或他们的发现,我们相信,多个来源的材料广度,能增强对该威胁的全面理解。dhs鼓励分析师仔细审视这些资源,以确定自身本地网络环境对该威胁的暴露程度。”该机构说道。
试用申请