乌克兰网络威胁活动：分析与资源

更新 2022年4月27日：请参阅下文更新的恶意软件详情和微软安全产品检测，如《特别报告：乌克兰》中所述。
更新 2022年3月2日：请参阅下文更新的恶意软件详情和微软安全产品检测，获取针对我们识别出的影响与乌克兰有关组织的不断演变威胁的额外见解和防护措施。

微软一直在监控乌克兰不断升级的网络活动，并发布了对观察到的活动的分析，以便为组织提供最新情报，指导对潜在攻击的调查，并提供信息以实施针对未来尝试的主动防护。

我们将所有针对可能受乌克兰事件影响的客户的分析和指南汇集到这一位置，以便于使用，所有内容均链接如下。在本博客中，我们还包含了组织构建网络弹性的一般安全指南。随着该地区局势的发展，我们将继续发布新的见解并增加这组资源。

微软一直在可能的情况下通知乌克兰的客户有关活动，并与乌克兰政府密切协调。这种支持是持续的。

我们还总结了关于我们为保护乌克兰组织免受网络攻击所做工作的信息；防范国家支持的虚假信息活动；支持人道主义援助；以及保护我们的员工：数字技术与乌克兰战争。

发布的微软对乌克兰恶意活动的分析

针对乌克兰士兵的网络钓鱼攻击：

• 2022年2月25日 | RiskIQ：UNC1151/GhostWriter 网络钓鱼攻击针对乌克兰士兵

最近的磁盘擦除攻击：

• 2022年2月24日 | RiskIQ：HermeticWiper 受感染服务器用于攻击链

高级威胁组织 ACTINIUM，持续追求访问乌克兰组织或与乌克兰事务相关的实体：

• 2022年2月4日 | 微软安全博客：ACTINIUM 针对乌克兰组织
• 2022年2月4日 | RiskIQ 威胁情报文章：ACTINIUM 针对乌克兰组织
• 2022年2月4日 | 微软威胁分析文章（需要许可证）：威胁洞察：ACTINIUM 针对乌克兰组织

针对乌克兰多个组织的破坏性恶意软件操作和恶意软件家族 WhisperGate：

• 2022年1月15日 | 微软问题博客：针对乌克兰政府的恶意软件攻击
• 2022年1月15日 | 微软安全博客：针对乌克兰组织的破坏性恶意软件
• 2022年1月15日 | RiskIQ 威胁情报文章：针对乌克兰组织的破坏性恶意软件

关于乌克兰活动的 OSINT（开源情报）文章定期发布到 RiskIQ 社区。完整列表可在此处获取：RiskIQ 社区关于乌克兰活动的文章。

安全指南和建议

我们建议客户审查其安全状况并实施最佳实践，以构建针对当前威胁的弹性。以下是建议和资源链接：

网络安全卫生：组织应通过遵循网络卫生的基本原则来强化所有系统，以主动防范潜在威胁。微软建议采取以下步骤：

• 启用多因素认证
• 应用最小权限访问并保护最敏感和特权凭据
• 审查远程访问基础设施的所有认证活动
• 通过最新补丁保护和管理系统
• 使用反恶意软件和工作负载保护工具
• 隔离遗留系统
• 启用关键功能的日志记录
• 验证备份
• 验证网络事件响应计划是否最新

微软安全最佳实践：微软客户可以遵循最佳实践，为安全相关决策提供清晰的可操作指导。这些实践旨在改善您的安全状况并降低风险，无论您的环境是纯云环境，还是跨越云和本地数据中心的混合企业：微软安全最佳实践

防范勒索软件和敲诈：人为操作的勒索软件攻击可能对业务运营造成灾难性影响，且难以清理，需要完全清除对手以防范未来攻击。遵循我们的勒索软件特定技术指南，帮助准备攻击、限制损害范围并消除额外风险：人为操作的勒索软件

更新的恶意软件详情和微软安全产品检测

对于使用微软安全产品的客户，我们继续构建和发布针对我们识别出的影响与乌克兰有关组织的不断演变威胁的防护措施。如上文发布的分析所述，在这个动态威胁环境中，多个参与者使用各种工具和技术。其中一些威胁被评估为更紧密地与国家利益相关，而其他威胁似乎更机会主义地试图利用冲突周围的事件。我们观察到攻击重复使用已知恶意软件的组件，这些组件经常被现有检测覆盖，而其他攻击则使用定制恶意软件，微软已为其构建了新的全面防护。

破坏性擦除攻击
从 WhisperGate 开始，微软继续观察到影响乌克兰组织的破坏性恶意软件攻击。这些攻击通常是入侵的最后阶段，在某些情况下，可能早于当前在乌克兰的军事行动。我们评估这些攻击的预期目标是破坏、降级和销毁目标资源。微软威胁情报中心（MSTIC）评估，在可预见的未来，乌克兰境内的组织继续面临破坏性操作的高风险。

微软 Defender 防病毒软件在构建版本 1.363.797.0 或更新版本中提供对擦除攻击的检测。使用自动更新的客户无需采取额外操作。管理更新的企业客户应选择检测构建 1.363.797.0 或更新版本，并在其环境中部署。

以下是微软已识别并正在保护客户免受其害的高级活动及相关恶意软件列表：

WhisperGate
2022年1月13日针对数十个系统的有限范围破坏性恶意软件攻击，影响多个政府、非营利和信息技术组织，所有这些组织均位于乌克兰。MSTIC 将负责此攻击的行为者跟踪为 DEV-0586，并未将其与先前已知的活动组联系起来。我们评估 DEV-0586 在乌克兰继续活跃，但也针对该地区的其他国家。

FoxBlade 和 SonicVote
最初于2022年2月23日发现的破坏性恶意软件攻击，影响数百个系统，涉及多个政府、信息技术、金融部门和能源组织，主要位于乌克兰或与乌克兰有联系。MSTIC 以中等置信度将 FoxBlade 相关事件归因于 IRIDIUM（先前跟踪为 DEV-0665）。微软评估该组织将继续存在破坏性活动的风险，因为我们自2月23日以来观察到涉及这些恶意能力的后续入侵。微软正在跟踪与此活动相关的以下恶意软件家族：

• FoxBlade（又名 HermeticWiper / HermeticWizard）
• SonicVote（又名 HermeticRansom）

IRIDIUM 还定期利用重命名的 SysInternals 实用程序 sdelete（由 IRIDIUM 重命名为 cdel.exe）执行目标安全删除文件系统区域，使用以下命令行模式：

1

c:\Windows\System32\cmd.exe /C C:\Windows\cdel.exe -accepteula -r -s -q c:\Users & C:\Windows\cdel.exe -accepteula -r -s -q c:\ProgramData

Lasainraw（又名 IsaacWiper）
ESET 于2022年2月25日最初识别的有限破坏性恶意软件攻击。微软继续调查此事件，目前未将其归因于已知威胁行为者。

DesertBlade
2022年3月初针对单个乌克兰实体的有限破坏性恶意软件攻击。与其他破坏性能力类似，DesertBlade（以 Golang 实现）通过被劫持的组策略对象（GPO）部署。DesertBlade 负责迭代覆盖然后删除所有可访问驱动器上的覆盖文件（如果是域控制器则保留系统）。由于调查和合作伙伴关系的性质，微软目前无法分享 DesertBlade 的样本。但是，我们可以分享以下哈希值作为 DesertBlade 家族的示例：

• a71c8306b6b8a89c18dea3b1490037593737d59b023000f24da94e3275600b59
• 4ca63406ff189301ccbb54daa6e2da4bc5d03ffc1a8a9756717d95d26abc3906

以下 Yara 规则可用于使用这些哈希值检测 DesertBlade：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

rule DesertBlade {
    meta:
        author = "Microsoft Threat Intelligence Center (MSTIC)"
        description = "Detects Golang package, function, and source file names observed in DesertBlade samples"
        hash = "a71c8306b6b8a89c18dea3b1490037593737d59b023000f24da94e3275600b59"
    strings:
        $s1 = "main.wipe\x00\x00"
        $s2 = "main.getRandomByte\x00\x00"
        $s3 = "main.drives\x00\x00"
        $s4 = "main.main.func3\x00\x00"
        $s5 = "walk.volumeNameLen\x00\x00"
        $s6 = "windows.GetLogicalDriveStrings\x00\x00"
        $s7 = "api.ExplicitAccess\x00\x00"
        $s8 = "go-acl.GrantSid\x00\x00"
        $s9 = "/src/w/w.go\x00\x00"
    condition:
        uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and filesize < 5MB and filesize > 1MB and all of ($s*)
}

FiberLake（又名 DoubleZero）
2022年3月22日，CERT-UA 发布了关于在破坏性攻击中使用的 .NET 能力的详细信息，微软跟踪为 FiberLake（又名 DoubleZero）。微软观察到 FiberLake 被用于针对乌克兰广播/媒体组织的攻击。微软正在继续调查此事件，目前未将其与已知威胁活动联系起来。

CaddyWiper 和 AprilAxe（又名 ARGUEPATCH）
CaddyWiper 最初由 ESET 于2022年3月14日发现，并被微软观察到在针对性攻击中影响有限数量的组织。CaddyWiper 是一种破坏性能力，导致文件和驱动器覆盖，使受感染系统无法启动。2022年4月1日，微软识别出一个涉及多阶段加载过程的新变种。

在这个新变种中，威胁行为者利用了一个后门的 IDA 调试器服务器可执行文件，微软将其命名为 AprilAxe。AprilAxe 旨在从磁盘去混淆和加载恶意代码。在所有观察到的入侵中，加载器与 CaddyWiper 的变种配对。微软观察到多个受影响的组织，跨越政府、自然资源、银行和能源组织。ESET 发布了关于这个新版本 CaddyWiper/ARGUEPATCH 的技术细节。与 ESET 一致，MSTIC 也将入侵活动和能力归因于 IRIDIUM。

Industroyer.B（又名 Industroyer2）
2022年4月8日，微软观察到 AprilAxe 和 CaddyWiper 被部署以针对乌克兰的能源组织。在此入侵期间，行为者还部署了一个名为 Industroyer 2 的恶意 ICS/SCADA 实用程序，该程序能够与工业控制系统交互。CERT-UA 和 ESET 发布了关于此能力的额外技术细节。与 ESET 一致，MSTIC 将此入侵活动和能力归因于 IRIDIUM。

相关防护
鼓励客户在微软 Defender 防病毒软件中启用云提供的保护和自动样本提交。这些能力使用人工智能和机器学习快速识别和阻止新的未知威胁。随着我们继续调查这些攻击并发现新数据，我们将添加或更新防护措施。

微软 Defender 防病毒软件和微软 Defender for Endpoint 客户应查找以下家族名称以获取与擦除攻击相关的活动：

• WhisperGate
• FoxBlade
• Lasainraw
• SonicVote
• CaddyWiper
• AprilAxe
• FiberLake
• Industroyer
• DesertBlade

观察到的擦除攻击可以通过额外的强化配置进一步限制。启用时，这些功能除了防御这些特定的擦除攻击外，还为客户防御带来更多弹性：

• 篡改保护防止观察到的禁用端点安全保护的常见技术。
• 受控文件夹访问仅允许受信任的应用程序访问受保护的文件夹。它通常能有效阻止这些擦除攻击。

未归因的威胁活动

作为 MSTIC 和 Microsoft 365 Defender 研究团队识别威胁活动并保护组织的持续努力的一部分，我们继续发现未归因的威胁活动。我们将继续分析活动并为这些威胁构建检测，一旦它们被识别。

与任何观察到的国家行为者活动一样，在可能的情况下，微软直接并主动通知已被针对或入侵的客户，为他们提供所需信息以帮助指导他们的调查。MSTIC 还积极与全球安全社区成员和其他战略合作伙伴合作，通过多个渠道分享信息，以帮助应对这一不断演变的威胁。微软使用 DEV-#### 指定作为给未知、新兴或发展中的威胁活动集群的临时名称，允许 MSTIC 将其作为唯一信息集进行跟踪，直到我们对活动背后的行为者的起源或身份达到高置信度。

常见的次要入侵行为

许多观察到的攻击利用了已知的恶意软件和入侵策略、技术和程序（TTP），这些被微软 Defender for Endpoint 使用以下常见警报检测：

• 可疑远程活动
• 对 LSASS 服务的可疑访问
• 微软 Defender 防病毒软件篡改
• 可疑远程活动

看到将其中一个或多个指标联系在一起的事件的客户应优先调查受影响的设备。

机会性网络钓鱼活动

利用对地缘政治冲突的兴趣，攻击者被观察到在网络钓鱼攻击中使用定制域名。微软 SmartScreen 和微软 Defender for Endpoint 中的网络保护功能为被引诱到这些域名的客户提供保护，包括但不限于以下：

• help-for-ukraine[.]eu
• tokenukraine[.]com
• ukrainesolidarity[.]org
• ukraine-solidarity[.]com
• saveukraine[.]today
• supportukraine[.]today

狩猎相关攻击

微软 Sentinel 和微软 Defender for Endpoint 客户可以通过以下查询狩猎相关活动：

微软 Sentinel
微软 Sentinel 提供检测和威胁狩猎分析，用于观察到的与这些威胁相关的技术。这些分析可以在微软 Sentinel 门户或通过微软 Sentinel GitHub 找到。

在主机上禁用崩溃转储
此查询查找在主机上设置的注册表键，以防止创建崩溃转储。 https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SecurityEvent/Crashdumpdisabledonhost.yaml

通过默认域或默认域控制器策略部署的新 EXE
此查询查找在主机上执行的可执行文件，这些文件似乎是通过默认域策略或默认域控制器策略部署的。这些策略通常不用于分发可执行文件。 https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/NewEXEdeployedviaDefaultDomainorDefaultDomainControllerPolicies.yaml

潜在重命名的 Sdelete 使用
此查询查找与递归使用 Sdelete 针对 C 驱动器相关的命令行参数，其中原始进程未命名为 sdelete.exe。 https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/Potentialre-namedsdeleteusage.yaml

通过 GPO 部署的 Sdelete
此查询查找通过 GPO 部署并在主机上递归运行的 Sdelete。 https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/SdeletedeployedviaGPOandrunrecursively.yaml

微软 Defender for Endpoint
要定位可能的利用活动，运行以下查询：

表面可疑 MSHTA 进程执行
使用此查询查找 MSHTA 启动时命令行引用 AppData\Roaming 路径中的 DLL。

1
2
3
4
5

CopyDeviceProcessEvents
| where FileName =~ "mshta.exe"
| where ProcessCommandLine has_all (".dll", "Roaming")
| where ProcessCommandLine contains @"Roaming\j"
| extend DLLName = extract(@"[jJ][a-z]{1,12}\.dll", 0, ProcessCommandLine)

表面可疑计划任务活动
使用此查询查找可能与行为者活动相关的计划任务。

1
2

CopyDeviceProcessEvents
| where ProcessCommandLine has_all ("schtasks.exe", "create", "wscript", "e:vbscript", ".wav")

潜在重命名的 sdelete 使用
使用此查询查找与使用重命名的 Sysinternals sdelete 工具删除 C 驱动器上多个文件相关的命令行参数，作为主机上破坏性攻击的一部分。

1
2
3
4

CopyDeviceProcessEvents
| where InitiatingProcessFileName !~ "sdelete.exe"
and InitiatingProcessCommandLine has_all ("-accepteula", "-r", "-s", "-q", "c:/")
and InitiatingProcessCommandLine !has ("sdelete")

微软继续调查这些攻击，并在分析新数据时改进防护措施。此外，微软 Sentinel 和 Microsoft 365 Defender 有一系列现有查询，用于检测常见技术，如横向移动和权限提升。我们建议客户使用这些查询来识别这些攻击中使用的常见攻击者技术。

我们继续监控活动，并将随着局势的发展更新此页面。