执行摘要

CISA在接到美国联邦文职行政部门（FCEB）机构通过端点检测与响应（EDR）工具发现的可疑活动警报后，启动了事件响应工作。通过本次事件响应，CISA总结了三个关键教训：漏洞未及时修复、机构未测试或演练其事件响应计划（IRP）、以及未持续审查EDR警报。

关键行动

• 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵
• 通过维护、实践和更新事件响应计划来为事件做好准备
• 通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做好准备

技术细节

威胁行为者活动

CISA发现网络威胁行为者通过利用GeoServer中的CVE-2024-36401漏洞（约在EDR警报前三周）入侵了该机构。在此三周期间，威胁行为者通过同一漏洞获得了第二个GeoServer的初始访问权限，并横向移动到另外两个服务器。

攻击技术分析

威胁行为者使用了多种MITRE ATT&CK技术和工具：

初始访问

• 利用CVE-2024-36401在两个GeoServer上获得初始访问权限[T1190]

持久化

• 在面向互联网的主机上使用Web Shell [T1505.003]
• 使用cron作业 [T1053.003] 和有效账户 [T1078]

防御规避

• 通过.php Web Shell和xp_cmdshell进行间接命令执行 [T1202]
• 滥用后台智能传输服务（BITS）作业 [T1197]

命令与控制

• 使用Stowaway多级代理工具建立C2通道 [T1090]
• 通过TCP/4441和TCP/50012端口建立出站连接

经验教训

漏洞未及时修复

威胁行为者利用CVE-2024-36401在两个GeoServer上获得初始访问权限：

• 该漏洞于2024年6月30日披露
• 威胁行为者于7月11日利用该漏洞访问第一个GeoServer
• 该漏洞于7月15日被添加到CISA的KEV目录
• 到7月24日，当威胁行为者利用该漏洞访问第二个GeoServer时，漏洞仍未修补

缺乏事件响应计划测试

机构的IRP没有涉及第三方协助的程序，这阻碍了CISA快速有效响应事件：

• 机构无法为CISA提供对其SIEM工具的远程访问
• CISA部署EDR代理前需经过变更控制委员会流程
• 机构长时间未通过桌面演练测试其计划

EDR警报监控不足

活动在环境中保持未被检测状态三周：

• 机构错过了7月15日在第一个GeoServer上检测到Stowaway工具的机会
• Web Server缺乏端点防护

缓解措施

CISA建议组织实施以下缓解措施：

漏洞管理

• 建立包含优先级和紧急修补程序的漏洞管理计划
• 优先修补KEV目录中的已知被利用漏洞
• 识别高风险系统并优先进行快速修补

事件响应准备

• 准备书面的IRP政策和计划
• 定期在真实条件下测试IRP
• 建立带外通信系统和账户的程序

日志记录和监控

• 实施全面详细的日志记录并在带外集中位置聚合日志
• 考虑使用SIEM解决方案进行日志聚合和管理
• 识别、警报和调查异常网络活动

附加建议

• 对所有特权账户和电子邮件服务账户要求防网络钓鱼的MFA [CPG 2.H]
• 为应用程序、脚本和网络流量实施允许列表，防止未经授权的执行和访问

妥协指标（IOC）