全球网络安全事件中常见的公开工具
摘要
本报告是由澳大利亚、加拿大、新西兰、英国和美国五国网络安全机构[1][2][3][4][5]的协作研究成果。我们重点介绍了在全球近期网络事件中被用于恶意目的的五款公开可用工具。这五款工具是:
- 远程访问木马: JBiFrost
- Webshell: 中国菜刀 (China Chopper)
- 凭证窃取工具: Mimikatz
- 横向移动框架: PowerShell Empire
- 命令与控制 (C2) 混淆与渗透: HUC数据包传输器 (HUC Packet Transmitter)
为帮助网络防御者和系统管理员的工作,我们还提供了限制这些工具有效性及检测其在网络中使用的建议。 本报告涵盖的单个工具是威胁行为者所用工具类型的有限示例。您在规划网络防御时,不应将此视为一份详尽无遗的列表。 用于利用网络及其所持数据的技术和工具绝非仅限于国家行为体或暗网上的犯罪分子。如今,具有多种功能的恶意工具广泛且免费地供所有人使用,从熟练的渗透测试人员、敌对的国家行为体和有组织犯罪分子,到业余的网络罪犯。 本活动警报中的工具已被用于危害包括卫生、金融、政府和国防在内的广泛关键领域的信息。它们的广泛可用性给网络防御和威胁行为者归因带来了挑战。 我们各国的经验清楚地表明,虽然网络威胁行为者不断发展其能力,但他们仍然会利用已建立的工具和技术。即使是最复杂的威胁行为者团体也使用常见的、公开可用的工具来实现其目标。 无论这些目标是什么,受害者系统的初始入侵通常是通过利用常见的安全弱点建立的。滥用未修补的软件漏洞或配置不当的系统是威胁行为者获取访问权限的常见方式。一旦入侵成功,本活动警报中详述的工具便会发挥作用,使攻击者能够在受害者的系统中推进其目标。
如何使用本报告 本活动警报中详述的工具分为五类:远程访问木马 (RAT)、Webshell、凭证窃取工具、横向移动框架和命令与控制 (C2) 混淆器。 本活动警报概述了每种工具构成的威胁,并深入剖析了威胁行为者在何时何地部署了这些工具。还描述了帮助检测和限制每种工具有效性的措施。 本活动警报最后给出了改进网络防御实践的一般性建议。
技术细节
远程访问木马: JBiFrost
JBiFrost RAT 首次出现于2015年5月,是 Adwind RAT 的一个变种,其根源可追溯至2012年的 Frutas RAT。 RAT 是一种程序,一旦安装在受害者的机器上,便允许远程管理控制。在恶意环境中,它除了许多其他功能外,还可用于安装后门和键盘记录器、截取屏幕截图以及渗透数据。 恶意RAT可能难以检测,因为它们通常被设计成不会出现在运行程序列表中,并且可以模仿合法应用程序的行为。 为防止取证分析,已知RAT会禁用受害者系统上的安全措施(例如任务管理器)和网络分析工具(例如Wireshark)。
使用情况 JBiFrost RAT 通常被网络犯罪分子和低技能威胁行为者使用,但其功能很容易被国家支持的威胁行为者改造利用。 其他RAT被高级持续性威胁 (APT) 组织广泛使用,例如针对航空航天和国防领域的 Adwind RAT;或由 APT10 针对广泛领域的 Quasar RAT。 威胁行为者曾多次入侵我们国家的服务器,目的是向受害者投递恶意RAT,要么为了获得远程访问以进行进一步利用,要么窃取银行凭证、知识产权或个人身份信息 (PII) 等有价值的信息。
能力 JBiFrost RAT 基于Java,跨平台且功能多样。它对多种操作系统构成威胁,包括 Windows、Linux、MAC OS X 和 Android。 JBiFrost RAT 允许威胁行为者进行横向移动或安装其他恶意软件。它主要通过电子邮件附件形式投递,通常是发票通知、报价请求、汇款通知、货运通知、付款通知,或附有指向文件托管服务的链接。 过去的感染已导致知识产权、银行凭证和个人身份信息 (PII) 泄露。感染了 JBiFrost RAT 的机器也可被用于僵尸网络,以执行分布式拒绝服务攻击。
示例 自2018年初以来,我们观察到 JBiFrost RAT 被用于针对关键国家基础设施所有者及其供应链运营商的定向攻击有所增加。在我国境内基础设施上托管该RAT的活动也有所增加。 2017年初,Adwind RAT 通过伪造的电子邮件部署,这些邮件被设计成看起来像是来自环球银行金融电信协会 (SWIFT) 网络服务。 许多其他公开可用的RAT,包括 Gh0st RAT 的变种,也被观察到在世界范围内针对一系列受害者使用。
检测与防护 JBiFrost RAT 感染的一些可能迹象包括但不限于:
- 无法在安全模式下重启计算机
- 无法打开Windows注册表编辑器或任务管理器
- 磁盘活动和/或网络流量显著增加
- 尝试连接到已知的恶意互联网协议 (IP) 地址
- 创建具有混淆或随机名称的新文件和目录
最佳防护措施是确保系统和已安装的应用程序都已完全打补丁和更新。使用具有自动定义更新和定期系统扫描的现代防病毒程序也将有助于阻止大多数最新变种。您应确保您的组织能够在其整个资产中集中收集防病毒检测结果,并有效调查RAT检测。 建议使用严格的应用程序允许列表来防止感染发生。 包括 JBiFrost RAT 在内的RAT的初始感染机制可能是网络钓鱼邮件。您可以通过阻止这些钓鱼邮件到达您的用户、帮助用户识别和报告钓鱼邮件以及实施安全控制以防止恶意邮件危害您的设备,来帮助防止 JBiFrost RAT 感染。英国国家网络安全中心 (UK NCSC) 发布了网络钓鱼指南(外部链接)。
Webshell: 中国菜刀 (China Chopper)
中国菜刀 (China Chopper) 是一个公开可用、文档完善的Webshell,自2012年以来已被广泛使用。 Webshell是在初始入侵后上传到目标主机的恶意脚本,授予威胁行为者远程管理能力。 一旦建立此访问权限,Webshell也可用于横向移动到网络内的其他主机。
使用情况 中国菜刀 (China Chopper) 被威胁行为者广泛用于远程访问受感染的Web服务器,提供文件和目录管理以及对受感染设备上的虚拟终端的访问。 由于中国菜刀 (China Chopper) 只有 4 KB 大小且有效负载易于修改,因此对于网络防御者来说检测和缓解都很困难。
能力 中国菜刀 (China Chopper) 有两个主要组件:攻击者运行的中国菜刀 (China Chopper) 客户端,以及安装在受害者Web服务器上但也由攻击者控制的中国菜刀 (China Chopper) 服务器。 Webshell客户端可以发出终端命令并管理受害者服务器上的文件。其MD5哈希值公开可用(最初发布在 hxxp://www.maicaidao.com)。 Web客户端的MD5哈希值如下表1所示。
表1:中国菜刀 (China Chopper) Webshell客户端MD5哈希值
| Webshell 客户端 | MD5 哈希值 |
|---|---|
| Webshell Client caidao.exe | MD5 Hash 5001ef50c7e869253a7c152a638eab8a |
Webshell服务器以纯文本形式上传,攻击者可以轻松更改。这使得定义能够识别敌对活动的特定哈希值变得更加困难。2018年夏季,观察到威胁行为者针对易受 CVE-2017-3066 攻击的面向公众的Web服务器。该活动与Web应用程序开发平台 Adobe ColdFusion 中的一个漏洞有关,该漏洞允许远程代码执行。 中国菜刀 (China Chopper) 被用作第二阶段有效负载,在服务器被入侵后投递,允许威胁行为者远程访问受害者主机。成功利用受害者机器上的漏洞后,基于文本的中国菜刀 (China Chopper) 被放置在受害者的Web服务器上。上传后,威胁行为者可以随时使用客户端应用程序访问Webshell服务器。成功连接后,威胁行为者会继续操纵Web服务器上的文件和数据。 中国菜刀 (China Chopper) 的功能包括使用文件检索工具 wget 将文件从互联网下载到目标,向受害者上传和下载文件;以及编辑、删除、复制、重命名甚至更改现有文件的时间戳。
检测与防护 抵御Webshell最强大的防御措施是首先避免Web服务器被入侵。确保运行在面向公众的Web服务器上的所有软件都应用了最新的安全补丁。审核自定义应用程序中是否存在常见的Web漏洞。[6(外部链接)] 中国菜刀 (China Chopper) 的一个特性是每个操作都会生成一个超文本传输协议 (HTTP) POST。这可能很"嘈杂",如果网络防御者进行调查,很容易被发现。 虽然中国菜刀 (China Chopper) Webshell服务器上传是纯文本的,但客户端发出的命令是 Base64 编码的,尽管这很容易解码。 Web服务器采用传输层安全 (TLS) 协议导致Web服务器流量被加密,这使得使用基于网络的工具检测中国菜刀 (China Chopper) 活动更具挑战性。 检测和缓解中国菜刀 (China Chopper) 最有效的方法是在主机本身上——特别是在面向公众的Web服务器上。有简单的方法可以在基于 Linux 和 Windows 的操作系统上使用命令行搜索是否存在Webshell。[7(外部链接)] 为了更广泛地检测Webshell,网络防御者应专注于发现Web服务器上可疑的进程执行(例如,PHP二进制文件产生进程)以及Web服务器上模式外的出站网络连接。通常,Web服务器会与内部网络建立可预测的连接。这些模式的改变可能表明存在Webshell。您可以管理网络权限,以防止Web服务器进程写入可以执行 PHP 的目录,或修改现有文件。 我们还建议您将Web访问日志用作监控来源,例如通过流量分析。意外的页面或流量模式的变化可能是早期指标。
凭证窃取工具: Mimikatz
Mimikatz 开发于2007年,主要被攻击者用来收集登录到目标 Windows 机器的其他用户的凭证。它通过访问 Windows 一个名为本地安全机构子系统服务 (LSASS) 的进程内存中的凭证来实现此目的。 这些凭证,无论是明文形式还是哈希形式,都可以被重复使用以获得对网络上其他机器的访问权限。 尽管它最初并非作为黑客工具开发,但近年来 Mimikatz 已被多个行为者用于恶意目的。它在全球入侵事件中的使用促使全球组织重新评估其网络防御。 Mimikatz 通常是在威胁行为者获得对主机的访问权限后,希望在整个内部网络中横向移动时使用。它的使用会严重破坏配置不当的网络安全。
使用情况 Mimikatz 源代码公开可用,这意味着任何人都可以编译自己版本的新工具,并可能开发新的 Mimikatz 自定义插件和附加功能。 我们的网络机构观察到 Mimikatz 在威胁行为者中广泛使用,包括有组织犯罪和国家支持的团体。 一旦威胁行为者获得对主机的本地管理员权限,Mimikatz 便能够获取其他用户的哈希和明文凭证,使威胁行为者能够在域内提升权限并执行许多其他入侵后和横向移动任务。 因此,Mimikatz 已被捆绑到其他渗透测试和利用套件中,例如 PowerShell Empire 和 Metasploit。
能力 Mimikatz 最著名的是其从内存中检索明文凭证和哈希的能力,但其完整功能套件非常广泛。 该工具可以获取从 Windows XP (2003) 到 Windows 8.1 (2012r2) 的 LAN Manager 和 NT LAN Manager 哈希、证书和长期密钥。此外,它还可以执行哈希传递 (pass-the-hash) 或票据传递 (pass-the-ticket) 任务,并构建 Kerberos “黄金票据” (golden tickets)。 Mimikatz 的许多功能可以通过脚本(例如 PowerShell)自动化,使威胁行为者能够快速利用和遍历受感染的网络。此外,当通过免费提供的 “Invoke-Mimikatz” PowerShell 脚本在内存中操作时,Mimikatz 活动很难被隔离和识别。
示例 多年来,Mimikatz 已被广泛范围的威胁行为者在多起事件中使用。2011年,未知的威胁行为者使用它从荷兰证书颁发机构 DigiNotar 获取管理员凭证。对 DigiNotar 信任的迅速丧失导致该公司在此次入侵后一个月内申请破产。 最近,Mimikatz 与其他恶意工具一起使用——在2017年的 NotPetya 和 BadRabbit 勒索软件攻击中,用于提取数千台计算机上保存的管理员凭证。这些凭证被用于促进横向移动,并使勒索软件能够在网络中传播,加密了这些凭证有效的众多系统的硬盘驱动器。 此外,一个微软研究团队在针对几家知名技术和金融组织的复杂网络攻击中发现了 Mimikatz 的使用。结合其他几种工具和利用的漏洞,Mimikatz 被用于转储并很可能重复使用系统哈希。
检测与防护 更新 Windows 将有助于减少威胁行为者从 Mimikatz 工具中获得的信息,因为微软寻求在每个新 Windows 版本中改进所提供的保护。 为防止 Mimikatz 凭证检索,网络防御者应禁用在 LSASS 内存中存储明文密码。这是 Windows 8.1/Server 2012 R2 及更高版本的默认行为,但可以在安装了相关安全补丁的旧系统上指定。[8(外部链接)] Windows 10 和 Windows Server 2016 系统可以通过使用较新的安全功能(例如 Credential Guard)来保护。
Credential Guard 将在以下情况下默认启用:
- 硬件符合微软的 Windows 硬件兼容性计划针对 Windows Server 2016 和 Windows Server Semi-Annual Branch 的规范和策略;并且
- 该服务器不作为域控制器运行。
您应验证您的物理服务器和虚拟化服务器是否符合微软对 Windows 10 和 Windows Server (外部链接) 每个版本的最低要求。 跨帐户(尤其是管理员帐户)的密码重用使得哈希传递攻击变得非常简单。您应在组织内设置用户策略,阻止密码重用,即使是网络上的普通级别帐户之间也是如此。微软免费提供的本地管理员密码解决方案可以轻松管理本地管理员密码,从而无需手动设置和存储密码。 网络管理员应监控并响应不寻常或未经授权的帐户创建或身份验证,以防止 Kerberos 票据利用,或网络持久性和横向移动。对于 Windows,诸如 Microsoft Advanced Threat Analytics 和 Azure Advanced Threat Protection 等工具可以提供帮助。 网络管理员应确保系统已打补丁并保持最新状态。最新的系统版本和更新可以缓解或显著限制 Mimikatz 的许多功能。但没有更新是完美的修复方案,因为 Mimikatz 在不断发展,并且经常开发新的第三方模块。 大多数最新的防病毒工具将检测并隔离未经定制的 Mimikatz 使用,因此应使用这些工具来检测这些实例。但威胁行为者有时可以通过在内存中运行 Mimikatz 或稍微修改原始工具代码来规避防病毒系统。无论在何处检测到 Mimikatz,您都应进行彻底调查,因为这几乎肯定表明威胁行为者正在网络中活跃存在,而不是自动流程在工作。 Mimikatz 的几项功能依赖于对管理员帐户的利用。因此,您应确保仅在必要时才发放管理员帐户。在需要管理访问权限的地方,您应应用特权访问管理原则。 由于 Mimikatz 只能捕获登录到受感染计算机的用户帐户,因此特权用户(例如域管理员)应避免使用其特权凭据登录计算机。有关保护 Active Directory 的详细信息可从微软获取。[9(外部链接)] 网络防御者应审核脚本(尤其是 PowerShell)的使用情况,并检查日志以识别异常。这将有助于识别 Mimikatz 或哈希传递滥用,并在一定程度上缓解绕过检测软件的企图。
横向移动框架: PowerShell Empire
PowerShell Empire 是入侵后或横向移动工具的一个例子。它旨在允许攻击者(或渗透测试人员)在获得初始访问权限后在网络中移动。此类工具的其他例子包括 Cobalt Strike 和 Metasploit。PowerShell Empire 也可用于生成恶意文档和可执行文件,以通过社会工程学获得对网络的访问。 PowerShell Empire 框架于2015年设计为一款合法的渗透测试工具。PowerShell Empire 作为一个框架,在威胁行为者获得系统访问权限后继续进行利用。 该工具为威胁行为者提供了提升权限、收集凭证、渗透信息和在网络中横向移动的能力。这些能力使其成为一个强大的利用工具。由于它建立在常见的合法应用程序 (PowerShell) 之上,并且几乎可以完全在内存中运行,因此使用传统的防病毒工具在网络中检测 PowerShell Empire 可能很困难。
使用情况 PowerShell Empire 在敌对的国家行为者和有组织犯罪分子中越来越受欢迎。近年来,我们看到它被用于全球跨多个领域的网络事件中。 入侵的初始利用方法各不相同,威胁行为者可以为每个场景和目标独特地配置 PowerShell Empire。这与 PowerShell Empire 用户社区内广泛的技能和意图相结合,意味着检测的难易程度会有所不同。尽管如此,更好地理解和认识此工具是防御威胁行为者使用它的第一步。
能力 PowerShell Empire 使威胁行为者能够在受害者的机器上执行一系列操作,并实现在系统中无需 powershell.exe 即可运行 PowerShell 脚本的能力。其通信是加密的,并且其架构灵活。 PowerShell Empire 使用"模块"来执行更具体的恶意操作。这些模块为威胁行为者提供了一系列可定制的选项,以在受害者的系统上追求其目标。这些目标包括提升权限、凭证收集、主机枚举、键盘记录以及在网络中横向移动的能力。 PowerShell Empire 的易用性、灵活配置和逃避检测的能力使其成为不同能力水平的威胁行为者的热门选择。
示例 在2018年2月的一起事件中,一家英国能源行业的公司被一个未知的威胁行为者入侵。此次入侵是通过使用该工具默认配置文件设置的 PowerShell Empire 信标活动检测到的。据信,受害者一个管理员帐户上的弱凭证为威胁行为者提供了对网络的初始访问权限。 2018年初,一个未知的威胁行为者使用以冬季奥运会为主题的社会工程学电子邮件和恶意附件,针对多家韩国组织进行了鱼叉式网络钓鱼活动。这次攻击具有额外的复杂层,利用了 Invoke-PSImage,一种可以将任何 PowerShell 脚本编码到图像中的隐写工具。 2017年12月,APT19 通过钓鱼活动针对一家跨国律师事务所。APT19 使用了由 PowerShell Empire 生成的 Microsoft Word 文档中嵌入的混淆 PowerShell 宏。 我们的网络安全机构也知道 PowerShell Empire 被用于针对学术界。在一个报告的例子中,威胁行为者试图使用 PowerShell Empire 通过 Windows Management Instrumentation 事件消费者获得持久性。然而,在此实例中,由于HTTP连接被本地安全设备阻止,PowerShell Empire 代理未能成功建立网络连接。
检测与防护 识别恶意的 PowerShell 活动可能很困难,因为主机上存在大量合法的 PowerShell 活动,并且 PowerShell 在企业环境维护中的使用日益增加。 为了识别潜在的恶意脚本,应全面记录 PowerShell 活动。这应包括脚本块日志记录和 PowerShell 转录。 应从环境中移除旧版本的 PowerShell,以确保它们不能被用来规避新版本 PowerShell 中添加的额外日志记录和控制。此页面提供了 PowerShell 安全实践的很好总结。[10(外部链接)] 最新 Windows 版本中的代码完整性功能可用于限制 PowerShell 的功能,在成功入侵的情况下阻止或阻碍恶意 PowerShell。 结合使用脚本代码签名、应用程序允许列表和约束语言模式将阻止或限制成功入侵时恶意 PowerShell 的影响。这些控制措施也会影响合法的 PowerShell 脚本,强烈建议在部署前对其进行彻底测试。 当组织对其 PowerShell 使用进行概要分析时,他们通常发现只有少数技术人员合法使用它。确定这种合法活动的范围将使监控和调查网络上其他地方可疑或意外的 PowerShell 使用变得更加容易。
C2 混淆与渗透: HUC数据包传输器 (HUC Packet Transmitter)
攻击者在入侵目标时通常希望隐藏自己的位置。为此,他们可能使用通用的隐私工具(例如 Tor)或更具体的工具来混淆其位置。 HUC 数据包传输器 (HTran) 是一种代理工具,用于拦截传输控制协议 (TCP) 连接并将其从本地主机重定向到远程主机。这使得攻击者与受害者网络的通信变得模糊成为可能。该工具自2009年以来已在互联网上免费提供。 HTran 促进了受害者和威胁行为者控制的跳点 (hop point) 之间的 TCP 连接。恶意的威胁行为者可以使用这种技术通过多个运行 HTran 的受感染主机重定向其数据包,以获得对网络中主机的更大访问权限。
使用情况 在政府和行业目标的入侵中经常观察到 HTran 的使用。 观察到广泛范围的威胁行为者使用 HTran 和其他连接代理工具来:
- 规避网络上的入侵和检测系统
- 混入常见流量或利用域信任关系绕过安全控制
- 混淆或隐藏 C2 基础设施或通信
- 创建点对点或网状 C2 基础设施以逃避检测并提供与基础设施的弹性连接
能力 HTran 可以以几种模式运行,每种模式都通过桥接两个 TCP 套接字在网络中转发流量。它们的不同之处在于 TCP 套接字的发起位置,无论是本地还是远程。这三种模式是:
- 服务器(监听)– 两个 TCP 套接字都从远程发起
- 客户端(从属)– 两个 TCP 套接字都从本地发起
- 代理(转发)– 一个 TCP 套接字从远程发起,另一个在收到第一个连接的流量后从本地发起
HTran 可以将自身注入正在运行的进程,并安装 rootkit 以向主机操作系统隐藏网络连接。使用这些功能还会创建 Windows 注册表项,以确保 HTran 保持对受害者网络的持久访问。
示例 我们网络安全机构最近的调查发现了使用 HTran 来维护和混淆对目标环境的远程访问。 在一次事件中,威胁行为者入侵了运行过时且易受攻击的 Web 应用程序的外部面向 Web 服务器。这种访问权限允许上传 WebShell,然后 WebShell 又被用于部署其他工具,包括 HTran。 HTran 被安装到 ProgramData 目录中,其他部署的工具被用于重新配置服务器以接受远程桌面协议 (RDP) 通信。 威胁行为者发出命令将 HTran 作为客户端启动,发起通过端口 80 与位于互联网上的服务器的连接,该服务器转发来自本地接口的 RDP 流量。 在这种情况下,选择 HTTP 是为了与预期从 Web 服务器发往互联网的其他流量混在一起。使用的其他知名端口包括:
- 端口 53 – 域名系统 (DNS)
- 端口 443 - HTTP over TLS/安全套接字层 (SSL)
- 端口 3306 - MySQL 通过这种方式使用 HTran,威胁行为者能够使用 RDP 数月而未被检测到。
检测与防护
攻击者需要访问机器来安装和运行 HTran,因此网络防御者应应用安全补并使用良好的访问控制,以防止攻击者安装恶意应用程序。
网络监控(外部链接)和防火墙可以帮助防止和检测来自 HTran 等工具的未经授权连接。
在一些分析的样本中,HTran 的 rootkit 组件仅在使用代理模式时隐藏连接详细信息。当使用客户端模式时,防御者可以查看有关正在建立的 TCP 连接的详细信息。
HTran 还包括一个对网络防御者有用的调试条件。如果目标变得不可用,HTran 会生成以下格式的错误消息:
sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);
此错误消息以明文形式中继给连接的客户端。网络防御者可以监控此错误消息,以潜在地检测其环境中活动的 HTran 实例。
缓解措施
有几项措施将改善您组织的整体网络安全,并帮助其防范本报告中强调的此类工具。建议网络防御者使用以下链接寻求更多信息。
- 保护您的组织免受恶意软件侵害。参见 NCCIC 指南:https://www.us-cert.gov/ncas/tips/ST13-003。参见 UK NCSC 指南:小型企业指南:网络安全(外部链接)。
- 董事会工具包:董事会日程上的五个问题。参见 UK NCSC 指南:https://www.ncsc.gov.uk/guidance/board-toolkit-five-questions-your-boards-agenda。
- 使用强密码策略和多因素身份验证(也称为双重身份验证或两步验证)以减少密码泄露的影响。参见 NCCIC 指南:不仅仅是密码。参见 UK NCSC 指南:为您的企业在线服务设置多因素身份验证(外部链接) 和 设置两步验证 (2SV)(外部链接)。
- 通过保持设备和网络最新状态来保护它们。使用最新支持的版本,及时应用安全补丁,使用防病毒软件并定期扫描以防范已知的恶意软件威胁。参见 NCCIC 指南:了解补丁和软件更新。参见 UK NCSC 指南:缓解恶意软件和勒索软件攻击(外部链接)。
- 防止和检测组织网络中的横向移动。参见 UK NCSC 指南:防止横向移动(外部链接)。
- 为网络隔离实施架构控制。参见 UK NCSC 指南:架构和配置(外部链接)。
- 保护关键运营系统的管理接口。特别是,使用浏览下层架构 (browse-down architecture) 来防止攻击者轻易获得对您最重要资产的特权访问。参见 UK NCSC 博客文章:保护您的管理接口(外部链接)。
- 建立安全监控能力,以便收集分析网络入侵所需的数据。参见 UK NCSC 指南:安全日志记录简介(外部链接)。
- 审查并更新您的事件管理流程。参见 UK NCSC 指南:事件管理(外部链接)。
- 更新您的系统和软件。确保您的操作系统和生产力应用程序是最新的。拥有 Microsoft Office 365 许可的用户可以使用"点击运行" (click to run) 来使其办公应用程序无缝更新。
- 使用现代系统和软件。这些系统内置了更好的安全性。如果您不能立即摆脱过时的平台和应用程序,可以采取一些短期步骤来改善您的状况。参见 UK NCSC 指南:过时产品(外部链接)。
- 妥善管理批量个人数据集。参见 UK NCSC 指南:保护批量个人数据(外部链接)。
- 限制入侵者在您的系统和网络中自由移动的能力。特别注意潜在的易受攻击入口点(例如,能够访问您核心网络的第三方系统)。在事件期间,禁用来自第三方系统的远程访问,直到您确定它们是干净的。参见 UK NCSC 指南:防止横向移动(外部链接) 和 评估供应链安全(外部链接)。
- 允许列表应用程序。如果您的操作环境支持,请考虑对允许的应用程序进行允许列表 (allow listing) 配置。这将有助于防止恶意应用程序运行。参见 UK NCSC 指南:设备安全指南 - Windows(外部链接)。
- 谨慎管理宏。禁用 Microsoft Office 宏,除非在特定需要的应用程序中。仅为日常需要宏的用户启用宏,并使用最新且完全打补丁的 Office 版本和底层平台,最好按照英国 NCSC 的终端用户设备安全集合指南和英国 NCSC 的 Microsoft Office 宏安全指南进行配置:设备安全指南(外部链接) 和 Microsoft Office 宏安全(外部链接)。
- 使用防病毒软件。保持任何防病毒软件为最新状态,并考虑使用云备份的防病毒产品,这可以受益于其带来的规模经济。确保防病毒程序也能够扫描 Microsoft Office 宏。参见 NCCIC 指南:了解防病毒软件。参见 UK NCSC 指南:Microsoft Office 宏安全(外部链接)。
- 部署组织级的网络钓鱼防御层。在恶意电子邮件附件和垃圾邮件到达最终用户之前,检测并隔离尽可能多的此类邮件。多层防御将大大降低被入侵的几率。
- 将人视为第一道防线。告知员工如何报告可疑的网络钓鱼邮件,并确保他们有信心这样做。及时彻底地调查他们的报告。切勿因用户点击钓鱼链接或打开附件而惩罚他们。NCCIC 鼓励用户和管理员将网络钓鱼报告发送至 SayCISA@cisa.dhs.gov(外部链接邮件)。参见 NCCIC 指南:避免社会工程和网络钓鱼攻击。参见 UK NCSC 指南:网络钓鱼攻击:防御您的组织(外部链接)。
- 部署基于主机的入侵检测系统。市场上有各种产品可供选择,有免费和付费的,以满足不同的需求和预算。
- 防御您的系统和网络免受拒绝服务攻击。参见 UK NCSC 指南:拒绝服务 (DoS) 指南(外部链接)。
- 保护您的组织免受勒索软件侵害。对重要文件进行安全备份,防范恶意软件,并且不要支付赎金——这可能无法取回您的数据。参见 NCCIC 指南:阻止勒索软件。参见 UK NCSC 指南:缓解恶意软件和勒索软件攻击(外部链接) 和 第1步 - 备份您的数据(外部链接)。
- 确保您正在适当地安全地处理个人数据。参见 NCCIC 指南:https://www.us-cert.gov/ncas/tips/ST04-013。参见 UK NCSC 指南:GDPR 安全成果(外部链接)。
进一步信息: 投资于防止各种场景下基于恶意软件的攻击。参见 UK NCSC 指南:缓解恶意软件和勒索软件攻击(外部链接)。
国际合作伙伴的额外资源
- 澳大利亚网络安全中心 (ACSC) 策略 - 缓解网络安全事件策略(外部链接)
- ACSC 八大要领 - 八大要领(外部链接)
- 加拿大网络安全中心 (CCCS) 十大安全行动 - 十大 IT 安全行动(外部链接)
- CCCS 网络卫生 - 网络卫生
- 新西兰CERT的2018年关键控制 - 关键控制(外部链接)
- 新西兰CERT为您业务提供的11大网络安全提示 - https://www.cert.govt.nz/businesses-and-individuals/guides/cyber-security-your-business/top-11-cyber-security-tips-for-your-business/
- 新西兰国家网络安全中心 (NZ NCSC) 资源 - 资源(外部链接)
- 新西兰信息安全手册 - 新西兰信息安全手册(外部链接)
- UK NCSC 网络安全10个步骤 - 网络安全10个步骤(外部链接)
- UK NCSC 董事会工具包:董事会日程上的五个问题 - https://www.ncsc.gov.uk/guidance/board-toolkit-five-questions-your-boards-agenda
- UK NCSC 网络安全:小型企业指南 - 小型企业指南:网络安全(外部链接)
联系信息
NCCIC 鼓励本报告的接收者提供他们可能拥有的与此威胁相关的任何其他信息。对于与本报告相关的任何问题,请通过以下方式联系 NCCIC:
- 1-844-Say-CISA (美国境外: +1-703-235-8832)
- SayCISA@cisa.dhs.gov(外部链接邮件) (UNCLASS)
NCCIC 鼓励您报告任何可疑活动,包括网络安全事件、可能的恶意代码、软件漏洞和与网络钓鱼相关的诈骗。报告表格可在事件报告表格索引 - IRF 找到。
反馈 NCCIC 努力使本报告成为对我们合作伙伴有价值的工具,并欢迎就如何改进本出版物提供反馈。您可以通过在以下网址回答几个关于本报告的简短问题来提供帮助:网站反馈。
参考
[1] 澳大利亚网络安全中心 (ACSC)(外部链接) [2] 加拿大网络安全中心 (CCCS)(外部链接) [3] 新西兰国家网络安全中心 (NZ NCSC)(外部链接) [4] UK 国家网络安全中心 (UK NCSC)(外部链接) [5] 网络安全与基础设施安全局 (CISA) [6] OWASP 十大安全风险 | OWASP 基金会(外部链接) [7] 深入剖析中国菜刀 Web Shell - 第二部分 | Mandiant | Google Cloud 博客(外部链接) [8] 微软安全公告:更新以改进凭证保护和管理:2014年5月13日 - Microsoft 支持(外部链接) [9] Active Directory 安全最佳实践 | Microsoft Learn(外部链接) [10] PowerShell 安全最佳实践(外部链接)
修订
- 2018年10月11日:初始版本
本产品根据此通知和此隐私与使用政策提供。