乌克兰网络威胁活动: 分析与资源

本博客是《Cyber threat activity in Ukraine: analysis and resources – Microsoft Security Response Center》的摘要翻译版。最新信息请参考原文。

2022年3月2日更新：关于针对乌克兰相关组织不断演变的特定威胁的更多见解和保护措施，请参阅以下更新的恶意软件详情和微软安全产品检测。

微软正在监测乌克兰日益加剧的网络活动，并公开观察到的活动分析，以提供最新的情报来调查潜在攻击，并为组织提供信息以实施主动防护措施。
我们为可能受乌克兰事件影响的客户整理了分析和指南，使其易于获取。所有这些都在下文链接中。本博客还包括各组织构建网络弹性的一般安全指南。随着乌克兰局势的发展，我们将继续发布新见解并添加到本资源中。
微软尽可能向乌克兰客户通报活动情况，并与乌克兰政府密切合作。这一支持仍在继续。
我们还整理了关于保护乌克兰组织免受网络攻击、免受国家支持的虚假信息宣传活动、提供人道主义援助以及保护员工的信息：

关于数字技术与乌克兰战争（日文摘要）

微软对乌克兰恶意活动的分析

• 针对乌克兰士兵的钓鱼攻击：
  2022/02/25 | RiskIQ: UNC1151/GhostWriter Phishing Attacks Target Ukrainian Soldiers

• 最近的磁盘擦除攻击：
  2022/02/24 | RiskIQ: HermeticWiper Compromised Server Used in Attack Chain

• 高级威胁行为者“ACTINIUM”持续针对乌克兰组织：
  2022/02/04 | Microsoft Security Blog: ACTINIUM targets Ukrainian organizations
  2022/02/04| RiskIQ threat intelligence article: ACTINIUM targets Ukrainian organizations
  2022/02/04 | Microsoft Threat Analytics article (需要许可证): Threat Insights: ACTINIUM targets Ukrainian organizations

• 针对乌克兰多个组织的破坏性恶意软件操作和恶意软件家族“WhisperGate”：

  2022/01/15 | Microsoft Security Blog: Destructive malware targeting Ukrainian organizations
  2022/01/15 | RiskIQ threat intelligence article: Destructive malware targeting Ukrainian organizations

关于乌克兰活动的OSINT（开源情报）文章定期发布在RiskUSER社区。完整列表可在此处获取：RiskIQ Community articles on Ukraine activity。

安全指南与建议

建议审查安全措施并实施最佳实践，以构建针对当前威胁的弹性。以下是建议和资源链接：

• 网络安全卫生：组织应遵循网络安全卫生的基本原则，强化所有系统，以主动防护潜在威胁。微软建议执行以下步骤：

  • 启用多因素认证
  • 实施最小权限访问，并保护最敏感的特权凭证
  • 审查所有远程访问基础设施的认证活动
  • 应用最新补丁以保护和管理系统
  • 使用防恶意软件工具和工作负载保护工具
  • 隔离遗留系统
  • 启用关键功能的日志记录
  • 验证备份
  • 确保网络事件响应计划是最新的

• 微软安全最佳实践：微软客户可以遵循最佳实践，为安全相关决策提供明确可行的指导。这些实践旨在改善安全状况并降低风险，无论您的环境是纯云还是跨越云和本地数据中心的混合企业：Microsoft安全最佳实践

• 防护勒索软件和勒索：人为操作的勒索软件攻击对业务具有毁灭性影响且难以恢复，因此需要完全阻止攻击者以防护潜在攻击。遵循勒索软件特定技术指南，以准备攻击、限制损害范围并消除其他风险：人为操作的勒索软件

更新的恶意软件详情和微软安全产品检测

对于使用微软安全产品的客户，微软持续构建和提供针对已识别的威胁的保护，这些威胁影响乌克兰相关组织。
如上所述分析，在这个动态威胁环境中，有多个行为者使用各种工具和技术。这些威胁中，有些被判断为更紧密地与国家利益相关，而有些则是试图利用围绕冲突事件的机会主义威胁。虽然我们观察到攻击中重复使用已知恶意软件组件（通常由现有检测覆盖），但我们也观察到使用了定制恶意软件，微软已为其构建了新的全面保护。

破坏性擦除器攻击

从1月由DEV-0586部署的WhisperGate破坏性恶意软件开始，微软持续确认针对乌克兰组织的破坏性恶意软件攻击。这些攻击通常是入侵的最后阶段，可能先于乌克兰当前的军事行动。我们判断这些攻击的目的是破坏、降级或崩溃目标资源。
Microsoft Defender防病毒软件在构建版本1.359.813.0及更高版本中检测攻击。使用自动更新的客户无需采取额外措施。管理更新的企业客户应选择检测构建1.359.813.0或更高版本，并部署到整个环境。
以下是微软识别并保护客户的活动概述及相关恶意软件列表：

• WhisperGate：
  2022年1月13日发生，影响乌克兰多个政府、非营利组织和信息技术组织的数十个系统的有限范围破坏性恶意软件攻击。Microsoft威胁情报中心（MSTIC）将负责此攻击的行为者追踪为DEV-0586，未链接到现有活动组。

• FoxBlade和SonicVote：
  2022年2月23日发现的破坏性恶意软件攻击，影响乌克兰相关多个政府、信息技术、金融和能源组织的数百个系统。MSTIC将负责此攻击的行为者追踪为DEV-0665，未链接到先前已知的威胁活动组。微软自2月23日起确认了这些恶意的后续入侵，并评估该组的破坏活动风险持续存在。微软追踪与此活动相关的以下恶意软件家族：

  • Foxblade（又名HermeticWiper / HermeticWizard）
  • SonicVote（又名HermeticRansom）

除了FoxBlade和SecureVote，DEV-0665还通过利用重命名版本的sdelete.exe实用程序并执行以下命令行模式来删除文件系统空间：
c:\Windows\System32\cmd.exe /C C:\Windows\cdel.exe -accepteula -r -s -q c:\Users & C:\Windows\cdel.exe -accepteula -r -s -q c:\ProgramData

• Lasainraw（又名IsaacWiper）：
  2022年2月25日由ESET首次识别的有限破坏性恶意软件攻击。微软继续调查此事件，目前未链接到已知威胁活动。

客户应在Microsoft Defender防病毒软件中启用云交付保护和自动样本提交。这些功能使用人工智能和机器学习快速识别和停止新威胁或未知威胁。我们继续调查这些攻击，并在发现新数据时添加或更新保护。客户应查找以下家族名称以了解与入侵攻击相关的活动：

• DoS:Win32/WhisperGate
• DoS:Win32/FoxBlade
• DoS:Win32/Lasainpos
• DoS:Win32/SonicVote
• Trojan:Win32/FoxBlade.A!dha

通过使用增强配置，可以进一步限制观察到的擦除器攻击。启用这些功能不仅保护免受特定攻击，还提高客户防御的弹性：

• 防篡改防止观察到禁用端点安全保护的常见技术。
• 文件夹访问控制确保只有受信任的应用程序可以访问受保护的文件夹。这通常有效阻止这些攻击。

无归属威胁活动

作为MSTIC和Microsoft 365 Defender研究团队持续努力识别威胁活动并保护组织的一部分，微软继续发现无归属威胁活动。微软在识别这些威胁时，继续分析活动并构建检测。
尽可能像国家级别行为者活动一样，微软直接并主动通知目标或受侵害客户，并提供必要信息以协助调查。MSTIC积极与全球安全社区成员和其他战略合作伙伴合作，共享信息以通过多个渠道应对这一演变威胁。微软使用DEV-####作为未知、新或开发中威胁活动集群的临时名称。这使得MSTIC能够作为唯一信息集进行追踪，直到对活动背后行为者的起源或身份有高度确信。

常见次要入侵习惯

许多观察到的攻击利用已知恶意软件或入侵的战术、技术和程序（TTP），这些可通过Microsoft Defender for Endpoint使用以下常见警报检测：

• 可疑远程活动
• 对LSASS服务的可疑访问
• Microsoft Defender防病毒软件篡改
• 可疑远程活动

确认具有一个或多个这些指标的客户应优先调查受影响设备。

机会主义钓鱼活动

我们观察到攻击者在钓鱼攻击中使用与地理冲突兴趣相符的域名。Microsoft Defender for Endpoint的Microsoft SmartScreen和网络保护功能为引导至广泛域名的客户提供保护，包括以下域名：

• help-for-ukraine[.]eu
• tokenukraine[.]com
• ukrainesolidarity[.]org
• ukraine-solidarity[.]com
• saveukraine[.]today
• supportukraine[.]today

相关攻击调查

Microsoft Sentinel和Microsoft Defender for Endpoint客户可以通过以下查询调查相关活动：

Microsoft Sentinel

Microsoft Sentinel提供与这些威胁相关的技术检测和威胁狩猎分析。这些分析可以在Microsoft Sentinel门户或Microsoft Sentinel GitHub找到。

• 主机上禁用崩溃转储：
  此查询查找主机上设置的注册表键，以防止创建崩溃转储。
  https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SecurityEvent/Crashdumpdisabledonhost.yaml

• 通过默认域或默认域控制器策略部署的新EXE：
  此查询查找在主机上运行的可执行文件，这些文件似乎通过默认域策略或默认域控制器策略部署。这些策略通常不用于可执行文件分发。
  https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/NewEXEdeployedviaDefaultDomainorDefaultDomainControllerPolicies.yaml

• 可能重命名的Sdelete使用：
  此查询搜索与Sdelete递归使用相关的命令行参数，其中原始进程名称不是sdelete.exe，针对C驱动器。
  https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/Potentialre-namedsdeleteusage.yaml

• 通过GPO部署的Sdelete：
  此查询查找通过GPO部署的Sdelete，并在主机上递归运行。
  https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/SdeletedeployedviaGPOandrunrecursively.yaml

Microsoft Defender for Endpoint

运行以下查询以查找可能被利用的活动：

• Surface可疑MSHTA进程执行：
  使用此查询查找在命令行中引用AppData\Roaming路径内DLL的MSHTA。

  1 2 3 4 5

  DeviceProcessEvents  | where FileName =~ "mshta.exe"  | where ProcessCommandLine has_all (".dll", "Roaming")  | where ProcessCommandLine contains @"Roaming\j"  | extend DLLName = extract(@"[jJ][a-z]{1,12}\.dll", 0, ProcessCommandLine)

• Surface可疑计划任务活动：
  使用此查询搜索与行为者活动相关的计划任务。

  1 2	DeviceProcessEvents  | where ProcessCommandLine has_all ("schtasks.exe", "create", "wscript", "e:vbscript", ".wav")

• 可能重命名的sdelete使用：
  使用此查询搜索与重命名的Sysinternals sdelete工具使用相关的命令行参数，以作为对主机的破坏攻击的一部分删除C驱动器上的多个文件。

  1 2 3 4

  DeviceProcessEvents  | where InitiatingProcessFileName !~ "sdelete.exe"  and InitiatingProcessCommandLine has_all ("-accepteula", "-r", "-s", "-q", "c:/")  and InitiatingProcessCommandLine !has ("sdelete")

微软继续调查这些攻击，并根据新数据分析增强保护。此外，Microsoft Sentinel和Microsoft 365 Defender有多种现有查询用于检测常见技术，如横向移动和权限提升。建议使用这些查询识别这些攻击中使用的常见攻击者技术。
微软将继续监控活动，并根据情况更新此页面的更多信息。