执行摘要

CISA在对某联邦文职行政部门机构进行事件响应时，通过该机构端点检测与响应工具生成的安全警报发现了潜在恶意活动。本次事件响应揭示了三个关键教训：漏洞未及时修复、机构未测试或演练其事件响应计划、未持续审查EDR警报。

关键行动

• 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防范入侵
• 通过维护、实践和更新事件响应计划来做好事件准备
• 通过实施全面详细的日志记录并在集中式带外位置聚合日志来做好事件准备

技术细节

威胁行为者活动

CISA发现网络威胁行为者通过利用GeoServer中的CVE-2024-36401漏洞，在EDR警报产生前三周就已入侵该机构。在此三周期间，威胁行为者通过同一漏洞获得了第二个GeoServer的初始访问权限，并横向移动到另外两台服务器。

攻击技术分析

初始访问

• 利用CVE-2024-36401在两个GeoServer上获得初始访问权限
• 该漏洞在威胁行为者访问第一个GeoServer前11天披露，访问第二个GeoServer前25天披露

持久化

• 在面向互联网的主机上使用Web Shell
• 使用cron作业和有效账户维持持久访问

横向移动

• 从Web服务器移动到SQL服务器，启用xp_cmdshell进行远程代码执行

命令与控制

• 使用Stowaway多级代理工具建立C2通信
• 通过PowerShell和bitsadmin getfile下载有效负载

经验教训

漏洞管理不足

• 威胁行为者利用CVE-2024-36401访问两个GeoServer
• 漏洞在添加到CISA KEV目录后仍未及时修补

事件响应计划缺陷

• 机构未测试或演练其IRP
• IRP缺乏涉及第三方协助或授予第三方访问安全工具的程序
• 无法为CISA提供SIEM工具的远程访问权限

安全监控缺失

• 活动未被发现长达三周
• 某些面向公众的系统缺乏端点保护
• 未持续审查EDR警报

缓解措施

漏洞管理

• 建立包含优先级和紧急修补程序的漏洞管理计划
• 优先修补KEV目录中的已知被利用漏洞
• 识别高风险系统并优先进行快速修补

事件响应准备

• 维护、实践和更新网络安全事件响应计划
• 定期在真实条件下测试IRP，包括紫队演练和桌面推演
• 建立带外通信系统和账户的流程

安全监控

• 实施全面详细的日志记录并在带外集中位置聚合日志
• 使用SIEM解决方案进行日志聚合和管理
• 识别、警报和调查异常网络活动

MITRE ATT&CK技术映射

攻击者使用了多种ATT&CK技术，包括：

• T1595.002 主动扫描：漏洞扫描
• T1190 利用面向公众的应用程序
• T1505.003 Web Shell
• T1053.003 Cron作业
• T1090 代理
• T1105 入口工具传输

妥协指标

表1提供了与此活动相关的IOC，包括C2服务器IP地址和各种工具的哈希值。组织应在采取行动前调查这些IP地址周围的活动，在没有分析证据支持的情况下不应将活动归为恶意。

本文基于CISA实际事件响应案例，为组织提供了改进网络安全态势的具体建议和最佳实践。