执行摘要

中华人民共和国（PRC）国家支持的网络威胁行为者正在全球范围内针对网络，包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为者主要关注主要电信提供商的大型骨干路由器，以及提供商边缘（PE）和客户边缘（CE）路由器，同时他们也利用受感染的设备和受信任的连接转向其他网络。这些行为者经常修改路由器以保持对网络的持久、长期访问。

此活动部分与网络安全行业报告的网络威胁行为者重叠，通常被称为 Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807 和 GhostEmperor 等。撰写机构不采用特定的商业命名惯例，在本公告中将这些负责网络威胁活动的组织统称为“高级持续性威胁（APT）行为者”。在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区都观察到了这一系列网络威胁活动。

此网络安全公告（CSA）包含了来自各种政府和行业调查的观察结果，其中APT行为者瞄准了内部企业环境以及直接向客户提供服务的系统和网络。本CSA详细介绍了这些APT行为者所利用的战术、技术和程序，以促进检测和威胁狩猎，并提供了缓解指导以降低来自这些APT行为者及其TTP的风险。

技术细节

以下部分是自至少2021年以来APT行为者用于瞄准企业环境的TTP汇编。特别值得注意的TTP包括修改路由器配置以在网络之间进行横向移动和利用网络设备上的虚拟化容器来逃避检测。行为者继续使用列出的许多TTP，但当现有TTP不再实现其目标时，预计它们会演变。即使不再经常使用，行为者仍可能在有利条件下机会性地使用以前的TTP。TTP描述对网络防御者进行追溯性威胁狩猎也很有用。

初始访问

与这些APT行为者相关的调查表明，他们在利用受损基础设施中公开已知的常见漏洞和暴露（CVE）和其他可避免的弱点方面取得了相当大的成功。迄今为止，尚未观察到零日漏洞的利用。随着新漏洞的发现和目标实施缓解措施，APT行为者可能会继续调整其策略，并可能会扩大对现有漏洞的利用。

如果尚未修补，防御者应优先考虑以下CVE，因为这些CVE历史上曾被这些APT行为者在暴露的网络边缘设备上利用。按年份排序的示例被利用CVE包括：

• CVE-2024-21887 - Ivanti Connect Secure 和 Ivanti Policy Secure web组件命令注入漏洞，通常在CVE-2023-46805（认证绕过）之后链接使用。
• CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致操作系统命令注入。当GlobalProtect在特定版本/配置上启用时，该CVE允许在防火墙上进行未经身份验证的远程代码执行。
• CVE-2023-20273 - Cisco IOS XE软件Web管理用户界面认证后命令注入/权限提升（通常与CVE-2023-20198链接以实现初始访问，以获得root权限的代码执行）。
• CVE-2023-20198 - Cisco IOS XE Web用户界面认证绕过漏洞。
• CVE-2018-0171 - Cisco IOS 和 IOS XE Smart Install 远程代码执行漏洞。

APT行为者利用基础设施，例如虚拟专用服务器（VPS）和受感染的中间路由器，这些基础设施未归属于公开已知的僵尸网络或混淆网络基础设施，以针对电信和网络服务提供商，包括ISP。

APT行为者可能会瞄准边缘设备，无论谁拥有特定设备。所有者的利益与行为者核心目标不符的实体所拥有的设备，仍然为进入感兴趣目标的攻击途径提供了机会。行为者利用受感染的设备和受信任的连接或私有互连（例如，提供商到提供商或提供商到客户的链接）转向其他网络。在某些情况下，行为者会修改路由并在受感染的网络设备上启用流量镜像（在可用的情况下使用SPAN/RSPAN/ERSPAN），并配置GRE/IPsec隧道和静态路由以实现相同目标。

持久化

为了保持对目标网络的持久访问，APT行为者使用了多种技术。值得注意的是，其中许多技术可以混淆行为者在系统日志中的源IP地址，因为他们的行为可能被记录为源自本地IP地址。具体的APT行为包括：

• 修改访问控制列表（ACL）以添加IP地址。这种改变允许行为者绕过安全策略并通过明确允许来自威胁行为者控制的IP地址的流量来保持持续访问。APT行为者通常将其ACL命名为“access-list 20”。当20已被使用时，行为者通常使用50或10。
• 开放标准和非标准端口，这可以开放和暴露各种不同的服务（例如，SSH、SFTP、RDP、FTP、HTTP、HTTPS）。这种策略提供了远程访问和数据渗漏的多种途径。此外，使用非标准端口可以帮助APT行为者逃避专注于标准端口活动的安全监控工具的检测。
• 在路由器上启用SSH服务器并开放面向外部的端口以保持加密的远程访问。在某些情况下，SSH服务建立在高位、非默认的TCP端口上，使用22x22或xxx22的端口编号方案，尽管端口模式在不同入侵中可能有所不同。行为者可能会向现有的SSH服务添加密钥以重新进入网络设备。
• 启用或滥用内置的HTTP/HTTPS管理服务器，有时将它们重新配置为非默认的高位端口。注意：已观察到HTTP服务器使用18xxx的端口编号方案。在受CVE-2023-20198影响的Cisco设备上启用HTTP/HTTPS服务器。如果Cisco IOS XE软件上启用了Web UI功能，此漏洞为APT行为者提供了进入机会。

受感染路由器上观察到的命令和活动包括：

• 通过SNMP执行命令。
• 来自远程或本地IP地址的SSH活动。
• Web界面面板（POST）请求。
• 使用服务或自动化凭证（例如，配置存档系统如RANCID使用的凭证）来枚举和访问其他网络设备。
• 在tclsh可用的Cisco IOS设备上执行Tcl脚本。

根据受感染网络设备上SNMP的配置，APT行为者在可能的情况下枚举并更改同一社区组中其他设备的配置。注意：正确配置的SNMPv3比以前的版本安全得多。

• 利用SNMPwalk从APT行为者控制的主机枚举设备。在观察到配置更改的情况下，它们是作为SNMP SET请求从这些主机发送到可写对象的。

• 在网络设备上基于环境预期创建隧道协议，例如通用路由封装（GRE）、多点GRE（mGRE）或IPsec。

  • 这些隧道允许在单个隧道上封装多个网络层协议，这可以为数据传输创建持久和隐蔽的通道，以混入正常网络流量。

• 在支持的Cisco网络设备上的盒内Linux容器中运行命令以暂存工具、本地处理数据并在环境内横向移动。这通常允许APT行为者进行恶意活动而不被检测，因为容器内的活动和数据未被密切监控。

  • 在Guest Shell中，运行Python（例如siet.py以利用Cisco Smart Install）和原生Linux工具，安装软件包（例如，通过可用的pip/yum），解析和暂存在设备存储上本地收集的工件（例如，配置、数据包捕获）。在NX-OS设备上，特别使用dohost为侦察和持久化编写主机级CLI操作脚本。对于Cisco IOS XE，Guest Shell是一个由IOx管理的Linux容器，通过guestshell enable启用，并通过guestshell run bash访问。默认情况下，Guest Shell内的进程通过管理虚拟路由和转发实例出口。在没有专用管理端口的平台上，可以通过VirtualPortGroup接口提供连接。Guest Shell可以执行Python和其他64位Linux应用程序，并可以按配置读/写设备可访问的存储。
  • 对于Cisco NX-OS，Guest Shell是一个通过run guestshell进入的LXC环境。它可以直接访问bootflash:，并可以通过dohost实用程序调用主机NX-OS CLI。默认情况下，网络使用设备的默认VRF。操作者（或恶意软件）可以使用chvrf在其他VRF中运行命令。Systemd管理的服务通常是Guest Shell内长时间运行的组件。
  • 使用guestshell disable和guestshell destroy命令来停用和卸载Guest Shell容器并将所有资源返回给系统。

• 利用开源的多跳转向工具，例如STOWAWAY，为命令和控制以及操作员访问构建链式中继，包括交互式远程shell、文件上传和下载、SOCKS5/HTTP代理，以及通过加密的节点到节点链接支持正向和反向连接的本地/远程端口映射。

横向移动与收集

在初始访问之后，APT行为者针对涉及身份验证的协议和基础设施——例如终端访问控制器访问控制系统增强版（TACACS+）——以促进跨网络设备的横向移动，通常通过SNMP枚举和SSH。从这些设备，APT行为者被动地从特定的ISP客户网络收集数据包捕获（PCAP）。为了进一步支持发现和横向移动，APT行为者可能针对：

• 身份验证协议包括TACACS+和远程认证拨号用户服务（RADIUS）。

• 管理信息库。

• 路由器接口。

• 资源预留协议（RSVP）会话。

• 边界网关协议（BGP）路由。

• 已安装的软件。

• 配置文件。 这通过从网络中的现有来源（例如，提供商脚本的输出）或通过主动调查设备和平凡文件传输协议（TFTP）来实现，包括多协议标签交换（MPLS）配置信息。

• 传输中的网络流量：使用本机功能通过许多路由器型号上可用的SPAN、RSPAN或ERSPAN功能捕获或镜像流量。

• 提供商持有的数据，例如：

  • 用户信息。
  • 用户内容。
  • 客户记录和元数据。
  • 网络图、清单、设备配置和供应商列表。
  • 密码。

通过受感染的路由器捕获包含凭据的网络流量是进一步实现横向移动的常用方法。这通常采取以下形式：

• 利用路由器上的本机PCAP功能（例如，Cisco的嵌入式数据包捕获）来收集RADIUS或TACACS+认证流量，其中可能包含以明文或弱保护形式传输的凭据。已观察到包含命名方案的PCAP，例如mycap.pcap、tac.pcap、1.pcap或类似变体。
• 修改路由器的TACACS+服务器配置以指向APT行为者控制的IP地址。这些行为者可能利用此功能捕获来自网络管理员或其他设备的身份验证尝试。他们还可能调整AAA配置，强制设备使用不太安全的身份验证方法或将记账信息发送到他们的基础设施。

APT行为者在第2层或第3层收集流量（取决于所使用的协议），主要来自Cisco IOS设备；然而，也可能针对其他设备类型。根据分析，APT行为者在入侵路由器后对更改设备配置和路由感兴趣。虽然某些操作特定于Cisco设备，但行为者能够针对其他供应商的设备，并可能利用类似的功能。APT行为者执行以下几种修改或技术以促进后续操作：

• 创建帐户/用户并向这些帐户分配权限，通常通过修改路由器配置。
• 暴力破解和重复使用凭据以访问Cisco设备。如果在初始利用期间收集的路由器配置包含弱哈希的Cisco Type 5（MD5）或Type 7密码。诸如“cisco”作为用户名和密码之类的弱凭据经常通过这些技术被利用。
• 扫描开放的端口和服务以及配置镜像会话，允许监控来自多个接口的流量。
• 通过SNMP、SSH和HTTP GET或POST请求在路由器上运行命令。这些请求通常针对特权执行路径，例如/level/15/exec/-/*，可能包括显示配置文件、访问BGP路由、管理VRF实例或清除系统日志的指令。
  • 许多受感染的设备使用众所周知的SNMP社区字符串，包括“public”和“private”。
• 配置PCAP功能以收集网络流量。
• 配置隧道。
• 使用环境中存在的监控工具来监控设备（通常是路由器）的配置更改。
• 更新路由表以将流量路由到行为者控制的基础设施。
• 使用几种技术来避免检测其活动，包括：
  • 删除和/或清除日志，可能同时恢复或以其他方式修改存储的配置文件以避免留下修改痕迹。
  • 禁用日志记录和/或禁用向中央服务器发送日志。
  • 在网络设备上停止/启动事件日志记录。
  • 配置Cisco设备运行Guest Shell容器以逃避收集工件、数据或PCAP的检测。

数据外泄

关于数据外泄的一个关键问题是APT行为者滥用对等连接（即网络之间的直接互连，允许流量交换而无需通过中介）。由于缺乏政策约束或系统配置限制对等ISP接收的数据类型，可能促进了数据外泄。

分析表明，APT行为者利用单独的（可能是多个）命令和控制通道进行数据外泄，以在代理和网络地址转换（NAT）池等高流量节点的噪声中隐藏其数据窃取。APT行为者经常使用隧道，例如IPsec和GRE，进行C2和外泄活动。

案例研究

本节详细介绍了APT行为者采用的技术，以及从分析中获得的用于检测此活动的指标。APT行为者在受感染网络上采取进一步行动之前被阻止。

收集本机PCAP APT行为者使用受感染系统上的本机工具收集PCAP，主要目标可能是捕获TCP端口49上的TACACS+流量。如果已知加密密钥，可以解密TACACS+数据包体。至少在一个案例中，设备配置使用Cisco Type 7可逆混淆编码存储了TACACS+共享密钥。从配置中恢复该密钥将能够离线解密捕获的TACACS+有效载荷。TACACS+流量用于身份验证，通常用于网络设备的管理，包括高权限的网络管理员帐户和凭据，这可能使行为者能够入侵更多帐户并执行横向移动。

表1中列出的命令在Cisco IOS XE主机上被观察到以辅助PCAP外泄。

主机级指标 如果控制台日志记录或来自网络设备的远程FTP/TFTP可见性可用，以下主机级指标可能有助于检测活动：

• 捕获名称：mycap
• 捕获规则：match ipv4 protocol tcp any any eq 49
• 导出的pcap文件名：tac.pcap
• tftp远程文件名：tac.pcap
• tftp远程IP：[远程 IP]

在IOS XR上启用对底层Linux主机的SSH访问 Cisco IOS XR（64位）是一个基于Linux的网络操作系统，构建在基于Yocto的Wind River Linux发行版上。IOS XR通常通过TCP/22端口上的IOS XR CLI或控制台进行管理。

内置的sshd_operns服务在主机Linux上公开了一个额外的SSH端点。启用后，它在TCP/57722上监听，并提供对主机操作系统的直接shell访问。不允许root登录到此服务，只有非root帐户可以验证。

在IOS XR上，sshd_operns默认禁用，必须明确启动（例如，service sshd_operns start）。跨重启持久化需要在init时启用（chkconfig）或等效操作。

在观察到的入侵中，APT行为者启用了sshd_operns，创建了一个本地用户，并授予其sudo权限（例如，通过编辑/etc/sudoers或在/etc/sudoers.d/下添加文件），以便在通过TCP/57722登录后获得主机操作系统上的root权限。

表2中列出的命令是作为root从主机Linux bash shell执行的。

威胁狩猎指南

撰写机构强烈鼓励关键基础设施组织，特别是电信组织的网络防御者执行威胁狩猎，并在适当时进行事件响应活动。如果怀疑或确认存在恶意活动，组织应考虑根据适用的法律和法规向相关机构和监管机构报告的所有强制性报告要求，以及向适当机构的任何自愿报告，例如可以提供事件响应指导和缓解帮助的网络安全或执法机构。

本公告中描述的恶意活动通常涉及对网络的持久、长期访问，APT行为者在其中保持多种访问方法。网络防御者在排序防御措施时应谨慎行事，以最大化实现完全驱逐的机会，同时遵守其管辖范围内关于事件响应和数据泄露通知的适用法律、法规和指南。在可能的情况下，首先全面了解APT行为者对网络的访问程度，然后采取同步措施将其移除，可能是实现完全和持久驱逐所必需的。部分响应行动可能会提醒行为者正在进行的调查，并危及进行全面驱逐的能力。一个网络上的事件响应也可能导致APT行为者采取措施隐藏和保持在其他受感染网络上的访问，并可能破坏已经进行的更广泛的调查和操作框架。

APT行为者经常采取措施保护其已建立的访问权限，例如入侵邮件服务器或管理员设备/帐户以监控其活动是否被发现的迹象。组织应采取措施保护其威胁狩猎和事件响应的细节，以防被APT行为者监控活动。

撰写机构强烈鼓励组织进行以下威胁狩猎行动：

监控配置更改

• 提取所有运行中网络设备的配置，并与最新授权版本进行差异比较。
• 审查远程访问配置是否正确应用了ACL和传输协议。审查ACL是否存在任何未经授权的修改。
• 如果正在使用SNMP，请确保网络设备配置为使用具有适当身份验证和隐私配置的SNMPv3，如基于用户的安全模型（USM）和基于视图的访问控制模型（VACM）中所定义。
• 验证任何配置的本地帐户及其权限级别的真实性。
• 检查所有路由表，确保所有路由都是授权且预期的。
• 验证网络设备上配置的任何PCAP命令是否经过授权。

监控虚拟化容器

• 如果网络设备具有运行虚拟化容器的能力，请确保所有运行的虚拟化容器都是预期且经过授权的。
• 对于支持Cisco Guest Shell的设备，不要仅依赖设备系统日志来检测行为者活动。结合使用设备系统日志、AAA命令记账、容器（Guest Shell）日志和盒外流量/遥测。
• 使用AAA记账捕获生命周期和CLI活动，以便记录启用/禁用和进入操作。
• 对于IOS XE，搜寻guestshell enable、guestshell run bash和guestshell disable。在NX-OS上，搜寻guestshell enable、run guestshell和guestshell destroy。对意外使用chvrf和（在NX-OS上）使用dohost发出警报。

监控网络服务和隧道

• 监控在非标准端口上运行的管理服务（SSH、FTP等）。
• 搜寻行为者偏好的协议模式：
  • 来自非管理源IP的、具有22x22/xxx22编号模式的高位非默认端口上的SSH。
  • 可从管理VRF外部访问的高位非默认端口（18xxx）上的HTTPS/Web UI监听器。
  • TCP/57722（IOS XR sshd_operns）的可达性或流量。
• 搜寻IOS XR平台上的TCP/57722监听器。从管理VRF收集流量/遥测数据。任何意外的入站TCP/57722都应被视为高风险。
• 监控流向未经批准IP或任何离开管理VRF的TACACS+流量。与设备配置关联以检测TACACS+服务器重定向到APT行为者控制的基础设施。
• 监控源自网络设备流向未批准目的地的FTP/TFTP流量，特别是在盒上PCAP收集活动之后。
• 审计任何穿越安全边界的隧道，例如提供商之间的对等点，以确保网络管理员可以对其进行说明。特别是检查：
  • 自治系统号码之间无法解释或意外的隧道。
  • 未经授权使用文件传输协议，如FTP和TFTP。
• 监控网络流量中是否存在异常大量的文件传输到内部FTP服务器，APT行为者可能将其用作数据外泄前的暂存区域。
• 针对路由器的大量SSH活动，随后建立了传入隧道和传出隧道——每个隧道可能利用不同的协议。

监控固件和软件完整性

• 对固件执行哈希验证，并将值与供应商数据库进行比较，以检测对固件的未经授权修改。确保固件版本符合预期。
• 将磁盘和内存中的映像哈希与已知良好值进行比较。
• 使用产品的运行时内存验证或完整性验证工具来识别对运行时固件映像的任何更改。
• 在平台支持的情况下，启用映像和配置完整性功能，例如签名映像强制执行和安全配置检查点。对任何启动时或运行时验证失败发出警报。
• 检查任何可能存在的文件目录，查找非标准文件。

监控日志

• 审查从网络设备转发的日志，寻找潜在恶意行为的迹象，例如：
  • 清除本地存储日志的证据。
  • 禁用日志创建或日志转发。
  • 使用可用功能启动PCAP录制过程。
  • 允许通过非标准方法或向新位置进行远程访问。
  • 通过非标准方法或从意外位置更改设备配置。
• 对任何盒上数据包捕获的创建/启动或SPAN/RSPAN/ERSPAN会话定义发出警报，特别是那些匹配TACACS+或RADIUS的。
• 清查并持续监视监控会话状态和PCAP状态。命名模式包括mycap和输出文件名如mycap.pcap、tac.pcap和1.pcap。
• 在支持的情况下，部署嵌入式事件触发器，以系统日志记录任何数据包捕获或span/erspan配置命令的调用，捕获调用用户名和源。
• 审计XR主机Linux上被授予sudo权限的非root本地帐户。在支持的情况下，确保主机操作系统sshd_operns服务已禁用且未监听。在每次重启和设备升级时进行验证。
• 对表明新的XR主机OS服务、systemd服务状态更改或主机OS上意外权限提升的配置或遥测发出警报。
• 分析内部FTP服务器日志中是否存在来自意外源的登录。
• 监控网络流量中从一台路由器到另一台路由器的登录，因为这通常不是正常路由器管理过程的典型特征。

如果发现未经授权的活动，请在禁用前协调遏制序列，以避免提醒活跃的APT操作员。捕获实时工件（进程列表、绑定套接字、盒上文件），然后清除。

入侵指标

基于IP的指标

以下IP指标与2021年8月至2025年6月期间APT行为者的活动相关。免责声明：这些观察到的IP地址中最早在2021年8月出现，可能已不再被APT行为者使用。撰写机构建议组织在采取行动（例如封锁）之前调查或审查这些IP地址。

表3：APT关联的基于IP的指标，2021年8月-2025年6月

1
2
3
4

1.222.84[.]29
...
2001:41d0:700:65dc::f656[:]929f
2a10:1fc0:7::f19c[:]39b3

自定义SFTP客户端

APT行为者还使用自定义的SFTP客户端，这是一个用Golang编写的Linux二进制文件，用于将加密的存档从一个位置传输到另一个位置。

表4至表7中的以下SFTP客户端二进制文件类似，它们用于将文件从受感染的网络传输到暂存主机，在那里文件为外泄做准备。注意：cmd3和cmd1客户端可能由同一开发人员编写，因为它们具有相似的构建路径字符串和代码结构。

表4：cmd3 SFTP客户端

表5：cmd1 SFTP客户端

Cmd1 SFTP客户端Yara规则

1
2
3
4
5
6
7
8
9

rule SALT_TYPHOON_CMD1_SFTP_CLIENT {
    meta:
    description = "Detects the Salt Typhoon Cmd1 SFTP client. Rule is meant for threat hunting."
    strings:
        $s1 = "monitor capture CAP"
        ...
    condition:
        ...
}

表6：new2 SFTP客户端

New2 SFTP客户端Yara规则

1
2
3
4
5
6
7
8
9

rule SALT_TYPHOON_NEW2_SFTP_CLIENT {
    meta:
        description = "Detects the Salt Typhoon New2 SFTP client. Rule is meant for threat hunting."
    strings:
        $set_1_1 = "invoke_shell"
        ...
    condition:
        ...
}

表7：sft SFTP客户端

CVE 2023-20198 Snort规则

1

alert tcp any any -> any $HTTP_PORTS (msg:"Potential CVE-2023-20198 exploit attempt - HTTP Request to Add Privilege 15 User Detected"; content:"POST"; http_method; pcre:"/(webui_wsma|%2577ebui_wsma|%2577eb%2575i_%2577sma)/i"; http_uri; content:"<request xmlns=\"urn:cisco:wsma-config\" correlator=\"execl\">"; http_client_body; content:"<configApply details=\"all\">"; http_client_body; content:"<config-data>"; http_client_body; content:"<cli-config-data-block>"; http_client_body; content:"username"; http_client_body; content:"privilege 15"; http_client_body; content:"secret"; http_client_body; sid:1000003; rev:1;)

缓解措施

这些APT行为者在使用公开已知的CVE获取网络访问方面取得了相当大的成功，因此强烈鼓励组织以与此威胁相称的方式优先修补，例如通过对补丁进行排序以首先解决最高风险。有关更多信息，请参见CISA的已知被利用漏洞目录。具体来说，组织应确保边缘设备不易受本公告中识别的已知被利用CVE的攻击。

一般建议

• 定期审查网络设备（尤其是路由器）日志和配置，寻找任何意外、未经批准或不寻常活动的证据，特别是本公告中列出的活动。特别是检查：
  • 意外的GRE或其他隧道协议，特别是与外部基础设施的。
  • 设置为TACACS+或RADIUS服务器的意外外部IP，或其他AAA服务配置修改。
  • ACL中的意外外部IP。
  • 意外的数据包捕获或网络流量镜像设置。
  • 网络设备上运行意外的虚拟容器，或者，在预期有虚拟容器的情况下，容器内出现意外的命令。
• 采用稳健的变更管理流程，包括定期审计设备配置。
  • 确保所有网络配置都通过变更管理流程存储、跟踪和定期审计。变更管理流程审计已批准的配置与组织基础设施中当前运行的配置。
  • 审查防火墙规则的创建和修改日期，与变更管理批准进行交叉引用，以检测未经授权的规则或规则更改。
  • 为异常的路由器管理访问、命令或其他活动创建警报或告警。
• 在缓解之前，尝试识别疑似入侵的全部范围。虽然遏制入侵和防止进一步的恶意活动很重要，但如果未完全识别和缓解全部范围，行为者可能会保留访问权限并导致进一步的恶意活动。威胁狩猎和事件响应工作应与全部潜在恶意活动相平衡，以实现完全驱逐和最小化损害的目标。
• 禁用来自管理接口的出站连接，以限制网络设备之间可能的横向移动活动。
• 禁用所有未使用的端口和协议。仅使用加密和经过身份验证的管理协议，并禁用所有其他协议，尤其是未加密的协议。
• 更改所有默认的管理凭据，特别是网络设备和其他网络设备的。
• 要求管理角色使用公钥认证。在操作可行的情况下禁用密码认证。最小化身份验证尝试次数和锁定窗口，以减缓暴力破解和喷洒尝试。
• 使用供应商推荐的网络设备操作系统版本，并使用所有补丁保持更新。将不受支持的网络设备升级到供应商支持并提供安全更新的设备。

强化管理协议和服务

• 实施管理平面隔离和控制平面策略。
  • 将所有设备管理服务严格放置在专用的带外管理网络或管理VRF中。
  • 确保此管理VRF没有到客户或对等VRF的路由泄漏，并且不能从数据平面或对等地址空间发起或接收会话。
  • 阻止来自管理VRF的所有出口流量，仅允许流向明确授权的AAA/系统日志/NetFlow/IPFIX/遥测收集器，以防止行为者使用管理接口作为横向移动管道或外泄路径。
  • 在控制平面上应用明确的管理平面ACL，以允许列表（即默认拒绝）和速率限制管理协议。仅允许批准的管理站点IP/子网和跳转服务器。
• 仅使用SSHv2并禁用Telnet。审计并限制APT行为者常用的非默认端口上的SSH。
• 如果操作上需要Web界面，请仅将其绑定到管理VRF/接口。仅使用HTTPS并禁用未加密的HTTP。要求对Web界面访问进行AAA。监控并对在入侵中观察到的非默认高位HTTPS端口发出警报。
• 仅使用SNMPv3，并禁用SNMPv1和SNMPv2。配置可信管理器和ACL以将SNMP访问限制为仅可信设备。
• 持续监控SNMP SET操作，并对AAA服务器、HTTP/HTTPS启用或端口更改、隧道接口、SPAN/ERSPAN会话以及路由和ACL对象的更改发出警报。
• 为所有管理协议配置仅强密码套件，并拒绝所有弱密码套件。
• 强制执行每个协议的速率限制，以减缓凭据猜测和“低而慢”地滥用内置功能。
• 消除意外的IPv6管理暴露。
  • 如果启用了IPv6，则对IPv6应用与IPv4等效的控制。
  • 对IPv6强制执行管理平面ACL和CoPP。在IPv6中仅将管理服务绑定到管理VRF/接口。
  • 审计IPv6可达的管理服务和隧道，因为APT行为者的基础设施包括IPv6地址。

实施稳健的日志记录

• 确保启用日志记录并转发到集中式服务器。将每个设备上的陷阱和缓冲区日志记录级别设置为至少系统日志级别“informational”，以收集所有必要信息。
• 确保所有发送到集中式日志记录服务器的日志都通过安全、经过身份验证和加密的通道传输。中央服务器应维护不可变的日志，保留期足以支持网络安全事件响应调查并遵守适用的保留策略。
• 为特权命令启用AAA命令记账，以记录任何调用这些命令的尝试。

路由最佳实践

• 在可能的情况下利用路由认证机制。
• 保护经常被滥用于隐蔽重定向的对等和边缘路由路径。
  • 持续验证对等边缘的静态路由、基于策略的路由和VRF泄漏策略。对将流量导向非标准GRE/IPsec端点或意外下一跳的添加项发出警报。
• 在所有外部BGP会话上强制执行最大前缀限制、严格的前缀/AS路径过滤和“仅预期”社区。拒绝默认和过于宽泛的路由。
• 启用TTL安全或等效功能以减少离路径攻击面。
• 要求会话保护，并监控来自意外管理源的BGP会话重置和参数更改。

VPN最佳实践

• 删除默认的VPN IKE策略和相关组件。
• 创建符合加密算法使用适用要求和指南的IKE策略。

Cisco特定建议

• 禁用Cisco Smart Install功能。
• 使用强密码存储凭据。
  • 在支持的Cisco网络设备上使用Type 8（PBKDF2-SHA-256）保护本地凭据。不要使用Type 7，并在可能时从Type 5过渡。
  • 使用Type 6（AES）密钥加密来保护存储的机密。
• 禁用来自VTY的出站连接。这可以防止通过VTY从设备发起SSH、Telnet或其他客户端会话，减少其作为跳板主机的效用。监控此设置的任何更改。
• 审计在TCP/57722上意外启用的IOS XR主机SSH。默认情况下这是禁用的，但已观察到行为者为了持久化而启用它。
• 当不需要时，通过运行no ip http server和no ip http secure-server来禁用适用的Cisco网络设备上的Web配置界面。
• 确保在所有配置的ACL中添加最终的deny any any log行。这确保被拒绝的连接会被记录，以便以后审查。

缓解Guest Shell滥用

• 在操作不需要的地方禁用Guest Shell。
  • 对于IOS XE，运行guestshell disable来停止容器。在支持的情况下，使用no iox禁用IO