执行摘要
中华人民共和国(PRC)国家支持的网络威胁行为体正在全球范围内针对网络进行攻击,包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为体主要针对主要电信提供商的大型骨干路由器,以及提供商边缘(PE)和客户边缘(CE)路由器,同时利用受感染设备和可信连接渗透到其他网络。这些行为体经常修改路由器以维持对网络的持久、长期访问。
此活动部分与网络安全行业报告的网络威胁行为体重叠——通常被称为Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807和GhostEmperor等。撰写机构未采用特定的商业命名约定,在本咨询中将更通用地称这些负责网络威胁活动的行为体为"高级持续性威胁(APT)行为体"。在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区已观察到此类网络威胁活动集群。
技术细节
初始访问
与这些APT行为体相关的调查表明,他们在利用公开已知的常见漏洞和暴露(CVE)以及受感染基础设施中其他可避免的弱点方面取得了相当大的成功。迄今为止尚未观察到零日漏洞的利用。随着新漏洞的发现和目标实施缓解措施,APT行为体可能会继续调整其策略,并可能扩大对现有漏洞的利用。
如果尚未修补,防御者应优先处理以下CVE,因为这些CVE历史上曾被这些APT行为体在暴露的网络边缘设备上利用:
- CVE-2024-21887 - Ivanti Connect Secure和Ivanti Policy Secure Web组件命令注入漏洞
- CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致OS命令注入
- CVE-2023-20273 - Cisco IOS XE软件Web管理用户界面认证后命令注入/权限提升
- CVE-2023-20198 - Cisco IOS XE Web用户界面认证绕过漏洞
- CVE-2018-0171 - Cisco IOS和IOS XE智能安装远程代码执行漏洞
持久化
为了维持对目标网络的持久访问,APT行为体使用了多种技术。值得注意的是,其中许多技术可以混淆行为体在系统日志中的源IP地址,因为他们的操作可能被记录为来自本地IP地址。具体的APT行动包括:
- 修改访问控制列表(ACL)以添加IP地址
- 打开标准和非标准端口
- 启用SSH服务器并在网络设备上打开面向外部的端口
- 启用或滥用内置的HTTP/HTTPS管理服务器
- 通过SNMP执行命令
- 创建隧道协议,如通用路由封装(GRE)、多点GRE(mGRE)或IPsec
- 在支持的Cisco网络设备上在盒式Linux容器中运行命令
横向移动和数据收集
在初始访问后,APT行为体针对涉及身份验证的协议和基础设施——如终端访问控制器访问控制系统增强版(TACACS+)——以促进跨网络设备的横向移动,通常通过SNMP枚举和SSH实现。从这些设备中,APT行为体被动收集特定ISP客户网络的包捕获(PCAP)。
数据外泄
外泄的一个关键问题是APT行为体滥用对等连接(即网络之间的直接互连,允许流量交换而不通过中介)。由于缺乏策略约束或系统配置限制对等ISP接收的数据类型,可能促进外泄。
分析表明,APT行为体利用单独(可能多个)命令和控制通道进行外泄,将其数据窃取隐藏在高流量节点(如代理和网络地址转换(NAT)池)的噪声中。APT行为体经常使用隧道,如IPsec和GRE,进行C2和外泄活动。
威胁狩猎指南
撰写机构鼓励关键基础设施组织(尤其是电信组织)的网络防御者执行威胁狩猎,并在适当时进行事件响应活动。本咨询中描述的恶意活动通常涉及对网络的持久、长期访问,其中APT行为体维护多种访问方法。
撰写机构强烈鼓励组织执行以下威胁狩猎行动:
监控配置变更
- 提取所有运行中网络设备的配置,并检查与最新授权版本的差异
- 审查远程访问配置是否正确应用了ACL和传输协议
- 如果使用SNMP,确保网络设备配置为使用具有适当身份验证和隐私配置的SNMPv3
- 验证任何配置的本地账户及其权限级别的真实性
监控虚拟化容器
- 如果网络设备具有运行虚拟化容器的能力,确保所有运行的虚拟化容器都是预期和授权的
- 对于支持Cisco Guest Shell(IOS XE和NX-OS)的设备,不要仅依赖设备系统日志来检测行为体活动
监控网络服务和隧道
- 监控在非标准端口上运行的管理服务(SSH、FTP等)
- 狩猎行为体偏好的协议模式
- 审计任何跨越安全边界的隧道
缓解措施
这些APT行为体在使用公开已知的CVE获取网络访问方面取得了相当大的成功,因此强烈鼓励组织优先修补,以应对此威胁。
一般建议
- 定期审查网络设备(尤其是路由器)日志和配置,寻找任何意外、未经批准或不寻常活动的证据
- 采用稳健的变更管理流程,包括定期审计设备配置
- 在缓解之前尝试识别疑似泄露的完整范围
- 禁用管理接口的出站连接
- 禁用所有未使用的端口和协议
- 更改所有默认管理凭据
- 要求管理角色使用公钥认证
- 使用供应商推荐的网络设备操作系统版本并使用所有补丁保持更新
强化管理协议和服务
- 实施管理平面隔离和控制平面策略(CoPP)
- 仅使用SSHv2并禁用Telnet
- 如果操作上需要Web界面,仅将其绑定到管理VRF/接口
- 仅使用SNMPv3,并禁用SNMPv1和SNMPv2
- 为所有管理协议配置仅强密码套件
入侵指标(IOC)
IP地址指标
以下IP指标与APT行为体从2021年8月到2025年6月的活动相关联:
|
|
自定义SFTP客户端
APT行为体还使用自定义SFTP客户端,这是一个用Golang编写的Linux二进制文件,用于将加密档案从一个位置传输到另一个位置。观察到的客户端包括cmd3、cmd1、new2和sft。
附录
附录A:MITRE ATT&CK战术和技术
本咨询详细列出了APT行为体使用的各种MITRE ATT&CK战术和技术,包括:
- 侦察:主动扫描、收集受害者网络信息
- 资源开发:获取基础设施、妥协基础设施、获取能力
- 初始访问:利用面向公众的应用程序、信任关系
- 执行:系统服务、容器管理命令
- 持久化:创建账户、容器服务、账户操作
附录B:利用的CVE
| CVE | 供应商/产品 | 详情 |
|---|---|---|
| CVE-2024-21887 | Ivanti Connect Secure和Ivanti Policy | 命令注入漏洞 |
| CVE-2024-3400 | Palo Alto Networks PAN-OS GlobalProtect | 任意文件创建导致OS命令注入 |
| CVE-2023-20273 | Cisco IOS XE | Web管理UI认证后命令注入/权限提升 |
| CVE-2023-20198 | Cisco IOS XE | 认证绕过漏洞 |
| CVE-2018-0171 | Cisco IOS和IOS XE | 智能安装远程代码执行漏洞 |
附录C:MITRE D3FEND对策
| 对策标题 | ID | 详情 |
|---|---|---|
| 平台监控 | D3-PM | 定期审查网络设备日志和配置 |
| 网络流量社区偏差 | D3-NTCD | 检查意外的GRE或其他隧道协议 |
| 出站流量过滤 | D3-OTF | 禁用管理接口的出站连接 |
| 应用程序配置强化 | D3-ACH | 禁用所有未使用的端口和协议 |