全球网络防御指南:揭秘国家级APT攻击的技术细节与应对策略

本文详细分析了由国家支持的APT攻击者利用已知漏洞针对全球电信、政府等关键基础设施网络的攻击技术,包括初始访问、持久化、横向移动等TTPs,并提供了全面的检测、狩猎与缓解指南。

应对中国国家级支持的行为体为全球间谍系统提供数据而进行的全球网络入侵 | CISA

执行摘要

中华人民共和国(PRC)国家支持的网络安全威胁行为体正在全球范围内针对网络进行攻击,目标包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为体不仅专注于大型电信提供商的核心路由器以及提供商边缘(PE)和客户边缘(CE)路由器,还利用受感染的设备和可信连接渗透到其他网络。这些行为体通常修改路由器以维持对网络的持久、长期访问。

此项活动与网络安全行业报告的部分威胁行为体重叠——通常被称为Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807和GhostEmperor等。撰写机构不采用特定的商业命名惯例,在此后的报告中将这些网络威胁活动的责任方统称为“高级持续性威胁(APT)行为体”。已在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区观测到此类网络威胁活动集群。

此网络安全咨询(CSA)包含了来自多项政府和行业调查的观察结果,其中APT行为体针对内部企业环境以及直接向客户提供服务的系统和网络。本CSA详细介绍了这些APT行为体所使用的战术、技术和程序(TTP),以促进检测和威胁狩猎,并提供了降低这些APT行为体及其TTP风险的缓解指南。

本CSA由以下撰写和共同签署机构发布:

  • 美国国家安全局(NSA)
  • 美国网络安全和基础设施安全局(CISA)
  • 美国联邦调查局(FBI)
  • 美国国防部网络犯罪中心(DC3)
  • 澳大利亚信号局澳大利亚网络安全中心(ASD’s ACSC)
  • 加拿大网络安全中心(Cyber Centre)
  • 加拿大安全情报局(CSIS)
  • 新西兰国家网络安全中心(NCSC-NZ)
  • 英国国家网络安全中心(NCSC-UK)
  • 捷克共和国国家网络和信息安全局(NÚKIB)
  • 芬兰安全与情报局(SUPO)
  • 德国联邦情报局(BND)
  • 德国联邦宪法保卫局(BfV)
  • 德国联邦信息安全办公室(BSI)
  • 意大利对外情报和安全局(AISE)
  • 意大利国内情报和安全局(AISI)
  • 日本国家网络安全办公室(NCO)
  • 日本国家警察厅(NPA)
  • 荷兰国防情报和安全局(MIVD)
  • 荷兰总情报和安全局(AIVD)
  • 波兰军事反情报局(SKW)
  • 波兰对外情报局(AW)
  • 西班牙国家情报中心(CNI)

撰写机构强烈敦促网络防御者积极搜寻恶意活动,并应用本CSA中的缓解措施,以降低中国国家支持及其他恶意网络活动的威胁。

背景

至少自2021年以来,APT行为体一直在全球范围内进行恶意操作。这些操作与多个中国境内的实体有关,包括至少四川聚信和网络科技有限公司、北京寰宇天穹信息技术有限公司和四川智信锐捷网络科技有限公司。这些公司向中国情报部门提供网络相关产品和服务,包括解放军和国家安全部的多个单位。通过针对外国电信和互联网服务提供商(ISP)的活动以及侵入住宿和交通部门窃取的数据,最终可为中-国情报部门提供识别和追踪目标在全球通信和行动的能力。

技术细节

以下部分汇编了自至少2021年以来,APT行为体用于攻击企业环境的TTP。特别值得注意的TTP包括修改路由器配置以在网络间横向移动渗透,以及利用网络设备上的虚拟化容器来规避检测。行为体继续使用列出的许多TTP,但当现有TTP无法实现其目标时,预期它们会演变。即使不再常规使用,行为体仍可能在有利条件下机会性地使用以前的TTP。TTP描述对于网络防御者进行追溯性威胁狩猎也很有用。

初始访问 与这些APT行为体相关的调查表明,他们在利用已公开的常见漏洞和暴露(CVE)以及受损基础设施内其他可避免的弱点方面取得了相当大的成功。迄今为止尚未观察到零日漏洞的利用。随着新漏洞的发现以及目标实施缓解措施,APT行为体可能会继续调整其战术,并可能扩大对现有漏洞的利用。

如果尚未修补,防御者应优先处理以下CVE,因为这些CVE历史上曾被这些APT行为体在暴露的网络边缘设备上利用。按年份排序的示例被利用CVE包括:

  • CVE-2024-21887 - Ivanti Connect Secure 和 Ivanti Policy Secure Web组件命令注入漏洞,通常在CVE-2023-46805(身份验证绕过)之后链接利用。
  • CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致操作系统命令注入。该CVE允许在特定版本/配置上启用GlobalProtect时,在防火墙上进行未经身份验证的远程代码执行(RCE)。
  • CVE-2023-20273 - 思科互联网操作系统(IOS)XE软件Web管理用户界面身份验证后命令注入/权限提升(通常与CVE-2023-20198链接以进行初始访问,从而以root身份执行代码)。
  • CVE-2023-20198 - 思科IOS XE Web用户界面身份验证绕过漏洞。
  • CVE-2018-0171 - 思科IOS和IOS XE智能安装远程代码执行漏洞。

APT行为体利用未归因于公开已知僵尸网络或混淆网络基础设施的基础设施,例如虚拟专用服务器(VPS)和受感染的中间路由器,来针对电信和网络服务提供商,包括ISP。

无论谁拥有特定设备,APT行为体都可能以边缘设备为目标。拥有与行为体核心目标无关实体的设备,仍可作为进入目标兴趣点的攻击途径。行为体利用受感染的设备以及可信连接或专用互连(例如,提供商到提供商或提供商到客户的链接)渗透到其他网络。在某些情况下,行为体修改路由并在受感染网络设备上启用流量镜像(交换机端口分析器[SPAN]/远程SPAN[RSPAN]/封装远程SPAN[ERSPAN],如果可用),并配置通用路由封装(GRE)/IPsec隧道和静态路由以实现相同目标。此外,这些APT行为体通常同时利用大量易受攻击、暴露在互联网上的设备(跨越许多IP地址),并可能重新访问单个系统以进行后续操作。

持久化 为了维持对目标网络的持久访问,APT行为体使用了多种技术。值得注意的是,其中许多技术可以混淆行为体在系统日志中的源IP地址,因为他们的操作可能被记录为源自本地IP地址。具体APT行动包括:

  • 修改访问控制列表(ACL)以添加IP地址。
  • 打开标准和非标准端口,这可以打开和暴露各种不同的服务。
  • 启用SSH服务器并在网络设备上打开面向外部的端口以维持加密的远程访问。
  • 启用或滥用内置的HTTP/HTTPS管理服务器,有时将它们重新配置到非默认的高端口。
  • 在受感染设备上执行命令和活动,例如通过SNMP执行命令、来自远程或本地IP地址的SSH活动、Web界面面板(POST)请求、使用服务或自动化凭证、在思科IOS设备上执行Tcl脚本。
  • 枚举和更改同一社区组中其他设备的配置。
  • 在网络设备上创建隧道。
  • 在支持的思科网络设备上在盒内Linux容器中运行命令,以暂存工具、本地处理数据并在环境中横向移动。

横向移动与收集 在初始访问之后,APT行为体针对涉及身份验证的协议和基础设施(例如终端访问控制器访问控制系统增强版[TACACS+]),以促进跨网络设备的横向移动,通常通过SNMP枚举和SSH。从这些设备中,APT行为体被动收集来自特定ISP客户网络的流量包捕获(PCAP)。为了进一步支持发现和横向移动,APT行为体可能针对:身份验证协议(包括TACACS+和远程身份验证拨入用户服务[RADIUS])、管理信息库(MIB)、路由器接口、资源预留协议(RSVP)会话、边界网关协议(BGP)路由、已安装软件、配置文件等。

通过受感染的路由器捕获包含凭据的网络流量是进一步实现横向移动的常用方法。这通常表现为:利用路由器上的本机PCAP功能(例如思科的嵌入式数据包捕获)收集RADIUS或TACACS+身份验证流量;修改路由器的TACACS+服务器配置以指向APT行为体控制的IP地址。

APT行为体收集第2层或第3层流量,主要来自思科IOS设备;但也很可能针对其他类型的设备。根据分析,APT行为体有兴趣在入侵路由器后对设备进行配置和路由更改。虽然某些操作特定于思科设备,但行为体能够针对其他供应商的设备,并可能利用类似的功能。APT行为体执行以下几种修改或技术以促进后续操作:创建账户/用户并分配权限;暴力破解和重用凭据访问思科设备;扫描开放端口和服务并进行流量镜像;通过SNMP、SSH和HTTP GET或POST请求在路由器上运行命令;配置PCAP功能;配置隧道;使用环境中存在的监控工具来监控设备(通常是路由器)的配置更改;更新路由表以将流量路由到行为体控制的基础设施;使用多种技术来避免检测其活动。

数据泄露 数据泄露的一个关键问题是APT行为体滥用对等连接(即网络之间的直接互连,允许交换流量而无需通过中介)。由于缺乏策略约束或系统配置限制了对等ISP接收的数据类型,可能助长数据泄露。

分析表明,APT行为体利用单独的(可能是多个)命令和控制通道进行数据泄露,以将其数据窃取隐藏在代理和网络地址转换(NAT)池等高流量节点的噪声中。APT行为体经常使用IPsec和GRE等隧道进行C2和数据泄露活动。

威胁狩猎指南

撰写机构鼓励关键基础设施组织(尤其是电信组织)的网络防御者进行威胁狩猎,并在适当时进行事件响应活动。如果怀疑或确认恶意活动,组织应考虑根据适用法律法规向相关机构和监管机构报告的所有强制性报告要求,以及向适当机构(例如可以提供事件响应指导和缓解帮助的网络安全或执法机构)进行任何额外的自愿报告。有关其他报告信息,请参阅本公告中的联系信息部分。

本公告中描述的恶意活动通常涉及对网络的持久、长期访问,APT行为体在其中维护多种访问方法。网络防御者在排序防御措施时应谨慎行事,以最大限度地提高实现完全驱逐的机会,同时遵守其司法管辖区内的事件响应和数据泄露通知方面的适用法律、法规和指南。在可能的情况下,全面了解APT行为体对网络的访问程度,然后采取同步措施将其删除,可能是实现彻底和持久驱逐所必需的。部分响应行动可能会提醒行为体正在进行的调查,并危及进行全面驱逐的能力。对一个网络的事件响应也可能导致APT行为体采取措施隐藏和维持在另外受感染网络上的访问权限,并可能破坏已在进行的更广泛的调查和操作框架。

APT行为体经常采取措施保护其已建立的访问权限,例如入侵邮件服务器或管理员设备/账户以监控其活动是否被发现的迹象。组织应采取步骤保护其威胁狩猎和事件响应的细节,防止APT行为体的监控活动。

撰写机构强烈建议组织为威胁狩猎采取以下行动:

  • 监控配置更改:提取所有运行中的网络设备的配置,并与最新授权版本进行差异检查。审查远程访问配置以正确应用ACL和传输协议。审查ACL是否存在任何未经授权的修改。如果正在使用SNMP,请确保网络设备配置为使用SNMPv3并设置适当的身份验证和隐私配置。验证任何已配置的本地账户及其权限级别的真实性。检查所有路由表以确保所有路由都是授权和预期的。验证在网络设备上配置的任何PCAP命令是否经过授权。
  • 监控虚拟化容器:如果网络设备能够运行虚拟化容器,请确保所有运行的虚拟化容器都是预期和授权的。对于支持思科Guest Shell的设备,不要仅仅依赖设备syslog来检测行为体活动。结合使用设备syslog、AAA命令记账、容器日志和盒外流量/遥测。使用AAA记账捕获生命周期和CLI活动。在IOS XE上,搜寻guestshell enableguestshell run bashguestshell disable命令。在NX-OS上,搜寻guestshell enablerun guestshellguestshell destroy命令。对意外使用chvrfdohost发出警报。
  • 监控网络服务和隧道:监控在非标准端口上运行的管理服务。搜寻行为体偏好的协议模式:来自非管理员源IP的、采用22x22/xxx22编号模式的高非默认端口上的SSH;可从管理VRF外部访问的、非默认高端口(18xxx)上的HTTPS/Web UI监听器;IOS XR平台上TCP/57722(sshd_operns)的可达性或流量。搜寻流向未批准目的地或任何离开管理VRF的TACACS+流量。审核穿越安全边界的任何隧道。检查ASN之间无法解释或意外的隧道。监控网络流量中流向内部FTP服务器的大量文件传输。
  • 监控固件和软件完整性:对固件执行哈希验证,并与供应商数据库中的值进行比较,以检测对固件的未经授权修改。将磁盘和内存中映像的哈希值与已知良好值进行比较。使用产品的运行时内存验证或完整性验证工具来识别对运行时固件映像的任何更改。在平台支持的情况下,启用映像和配置完整性功能。
  • 监控日志:审查从网络设备转发的日志,查找潜在恶意行为的迹象。对任何盒内数据包捕获或SPAN/RSPAN/ERSPAN会话定义的创建/启动发出警报。清点和持续监视监控会话和PCAP状态。审核XR主机Linux上授予sudo的非root本地账户。分析内部FTP服务器日志是否存在来自意外源的登录。监控网络流量中是否存在从一个路由器到另一个路由器的登录行为。

如果发现未经授权的活动,在进行禁用之前协调遏制顺序,以避免惊动活跃的APT操作员。捕获实时工件,然后进行根除。

危害指标(IOCs)

  • 基于IP的指标:本公告提供了从2021年8月到2025年6月与APT行为体活动相关的IP地址列表。请注意,其中一些IP地址最早在2021年8月被观察到,可能已不再被APT行为体使用。
  • 自定义SFTP客户端:APT行为体还使用自定义的SFTP客户端(一种用Golang编写的Linux二进制文件)将加密档案从一个位置传输到另一个位置。公告中提供了多个不同版本客户端(cmd3, cmd1, new2, sft)的文件名、哈希值、文件大小、文件类型、命令行用法、版本字符串和构建路径字符串等信息,并附带了用于检测cmd1和new2客户端的Yara规则。
  • CVE-2023-20198 Snort规则:提供了用于检测潜在CVE-2023-20198漏洞利用尝试的Snort规则。

缓解措施

这些APT行为体在使用已公开的CVE访问网络方面取得了相当大的成功,因此强烈鼓励组织以与此威胁相称的方式优先进行修补,例如通过排序补丁首先解决最高风险。有关更多信息,请参阅CISA的已知已利用漏洞目录。具体而言,组织应确保边缘设备不易受到本公告中识别的已知已利用CVE的攻击。

一般建议

  • 定期审查网络设备(尤其是路由器)日志和配置,以查找任何意外、未经批准或不寻常活动的证据。
  • 采用稳健的变更管理流程。
  • 尝试在缓解之前确定疑似入侵的全部范围。
  • 禁用来自管理接口的出站连接。
  • 禁用所有未使用的端口和协议。
  • 更改所有默认管理凭据。
  • 要求对管理角色使用公钥身份验证。
  • 使用供应商推荐的网络设备操作系统版本,并使用所有补丁保持更新。

强化管理协议和服务

  • 实施管理平面隔离和控制平面策略。
  • 仅使用SSHv2并禁用Telnet。
  • 如果操作上需要Web界面,请仅将其绑定到管理VRF/接口。
  • 仅使用SNMPv3,并禁用SNMPv1和SNMPv2。
  • 为所有管理协议配置仅强加密密码套件。
  • 消除意外的IPv6管理暴露。

实施稳健的日志记录

  • 确保启用日志记录并转发到集中式服务器。
  • 确保所有发送到集中式日志记录服务器的日志都通过安全、经过身份验证和加密的通道传输。
  • 为特权命令启用AAA命令记账。

路由最佳实践

  • 尽可能利用路由身份验证机制。
  • 保护经常被滥用于秘密重定向的对等和边缘路由路径。

VPN最佳实践

  • 删除默认的VPN IKE策略及相关组件。
  • 创建符合密码算法使用相关要求和指南的IKE策略。

思科特定建议

  • 禁用思科智能安装功能。
  • 使用强加密存储凭据。
  • 禁用从VTY的出站连接。
  • 审核思科XR主机SSH的意外启用。
  • 当不需要时,禁用适用的思科网络设备上的Web配置界面。
  • 确保在所有配置的ACL中添加最终的deny any any log行。

缓解Guest Shell滥用

  • 在操作上不需要的地方禁用Guest Shell。
  • 在禁用Guest Shell的地方,限制重新启用Guest Shell。
  • 在使用Guest Shell的地方:将容器日志转发到SIEM;配置Guest Shell使用的VRF;对设备存储执行定期清点和完整性检查;为guestshell disable / guestshell destroy以及意外的chvrf / dohost使用创建警报。

附录

  • 附录A:MITRE ATT&CK战术和技术:列出了与本公告相关的所有威胁行为体战术和技术,涵盖了侦察、资源开发、初始访问、执行、持久化、权限提升、防御规避、凭据访问、发现、横向移动、收集、命令和控制以及数据泄露等阶段。
  • 附录B:被利用的CVE:以表格形式汇总了被利用的CVE信息。
  • 附录C:MITRE D3FEND对策:将缓解措施映射到MITRE D3FEND对策。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次