CISA分享事件响应参与的经验教训
执行摘要
CISA在美国联邦民事行政部门机构检测到端点检测和响应工具生成的安全警报后,启动了事件响应工作。CISA从此次参与中总结了三个关键经验教训:漏洞未及时修复、机构未测试或演练其事件响应计划、EDR警报未持续审查。
关键行动
- 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵
- 通过维护、实践和更新事件响应计划来为事件做准备
- 通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做准备
技术细节
威胁行为者活动
CISA发现网络威胁行为者通过利用GeoServer中的CVE-2024-36401漏洞,在EDR警报前三周就入侵了该机构。在这三周期间,网络威胁行为者通过同一漏洞获得了第二个GeoServer的初始访问权限,并横向移动到另外两个服务器。
攻击技术分析
初始访问
- 利用CVE-2024-36401获得两个GeoServer的远程代码执行能力
- 该漏洞在威胁行为者访问第一个GeoServer前11天披露
持久化
- 在面向互联网的主机上使用Web Shell
- 使用cron作业和有效账户维持访问
横向移动
- 从Web服务器移动到SQL服务器
- 启用xp_cmdshell进行远程代码执行
命令与控制
- 使用Stowaway多级代理工具建立C2通道
- 使用PowerShell和bitsadmin下载有效载荷
经验教训
漏洞未及时修复
威胁行为者利用CVE-2024-36401获得两个GeoServer的初始访问权限。该漏洞在威胁行为者访问第一个GeoServer前11天披露,访问第二个GeoServer前25天披露。
事件响应计划未测试
机构的IRP没有涉及第三方援助或授予第三方访问其安全工具的程序,这延迟了CISA响应的某些要素。
EDR警报未持续审查
活动在环境中保持未被检测状态三周,机构错过了在GeoServer 1上检测此活动的机会,且Web服务器缺乏端点保护。
缓解措施
CISA建议组织实施以下缓解措施:
-
建立漏洞管理计划
- 优先修补KEV目录中的已知被利用漏洞
- 识别高风险系统并优先快速修补
-
维护、实践和更新网络安全IRP
- 准备书面的IRP政策和计划
- 定期在真实条件下测试IRP
-
实施全面的日志记录
- 在带外集中位置聚合日志
- 考虑使用SIEM解决方案进行日志聚合和管理
指标妥协
表格提供了与此次活动相关的IOC,包括C2服务器IP地址和各种工具的哈希值。
MITRE ATT&CK战术和技术
报告详细列出了威胁行为者使用的各种ATT&CK战术和技术,包括侦察、资源开发、初始访问、持久化、权限提升、防御规避、发现和命令控制。