美國DHS發布《「灰熊草原」網路攻擊活動深入分析報告》

近期，美國DHS繼續公布了一份《」

灰熊草原」網路攻擊活動的深入分析

》報告（Enhanced Analysis of GRIZZLY STEPPE Activity），與上次的聯合分析報告（

JAR-16-20296

）不同，此次報告中給出了更多關於俄羅斯黑客活動的檢測響應技術性證據。

這些證據涉及攻擊活動的前期踩點偵查、攻擊程序武器化、惡意文件傳播、漏洞利用、駐留程序安裝、C&C控制、目標攻擊行為和檢測響應等方面，通過入侵指紋、惡意代碼、網路行為等特徵，全方位描述和刻畫了整個「灰熊草原」（GRIZZLY STEPPE）網路攻擊活動，值得參考研究。

該報告所呈現證據，由美國DHS下屬的國家網路安全和通信整合中心（NCCIC）聯合跨部門合作機構和其它監測「灰熊草原」活動的第三方私營公司綜合而成。

報告概要

在JAR-16-20296和本報告之前，一些網路安全和威脅研究公司已經發布了大量關於「灰熊草原」（GRIZZLY STEPPE）攻擊活動的分析報告。

在此，為了更好地了解APT28和APT29的網路攻擊行為，DHS鼓勵廣大網路安全專家、威脅分析研究者或普通民眾積極獲取這些公開報告，從中發現攻擊的TTPs屬性，進一步防禦「灰熊草原」攻擊活動。

以下是部分關於「灰熊草原」攻擊活動的公開報告清單，僅供參考，不代表美國政府支持或認可特定產品或供應商：

技術證據分析

DHS分析師採用網路攻擊鏈（ Cyber Kill Chain ）模式對攻擊活動進行分析、討論和識別，通過Cyber Kill Chain的7個判斷步驟，利用技術性證據，詳細描述了整個「灰熊草原」攻擊活動。

前期踩點偵查

攻擊者採用多種偵測方法確定了最佳入侵目標，這些方法包括網路漏洞掃描、用戶憑據竊取、註冊與目標組織機構網站相似域名等，其中註冊的相似域名（又稱typo-squatting攻擊）又以釣魚郵件鏈接的方式發送給了目標受害者，實現引誘欺騙，進而達到竊取受害者相關賬號密碼目的。

DHS在此警告相關機構組織應重視此類攻擊。

而且，在2016年大選前期，DHS發現了一些可疑的網路掃描活動，這些掃描活動著重判斷目標網站系統的XSS和SQL漏洞情況。

一旦識別到漏洞存在，攻擊者就會利用這些漏洞進一步入侵目標網路。網路邊界掃描是攻擊活動的前兆。

「灰熊草原」攻擊者使用的另外一種方法是，通過公開的網路基礎設施架構臨時、中轉或釣魚網站頁面，進行目標用戶的密碼憑據信息收集和存儲。

攻擊程序武器化

據報道，2014年攻擊者首先利用了名為OnionDuke的惡意軟體開始了網路攻擊行為，從這個階段開始，一些安全分析研究者就有所察覺。「灰熊草原」攻擊程序的武器化方法主要為：

對某些網站進行代碼注入實行「水坑攻擊」

製作包含惡意宏程序的Office文件

製作包含惡意flash代碼的富文本格式（RTF）文檔

惡意文件傳播

主要使用釣魚郵件附件或鏈接進行惡意文件傳播，如以下附件格式、郵件主題、文件標題等：

efax, e-Fax, efax #100345（隨機序列數組合）

PDF, PFD, Secure PDF

時事主題，如「歐洲議會聲明….」等

Microsoft Outlook Web Access（OWA）的釣魚登錄頁面

網路威脅事件會議邀請

入侵合法站點設置包含惡意程序的軟體下載

在種子站點提供被感染的盜版軟體下載

利用TOR出口節點傳播惡意文件

漏洞利用

「灰熊草原」攻擊者利用了一系列CVE漏洞組合開發具有特定功能的惡意軟體，這些CVE包括：

CVE-2016-7855: Adobe Flash Player UAF漏洞

CVE-2016-7255: Microsoft Windows 提權漏洞

CVE-2016-4117: Adobe Flash Player 遠程攻擊漏洞

CVE-2015-1641: Microsoft Office 內存破壞漏洞

CVE-2015-2424: Microsoft PowerPoint 內存破壞漏洞

CVE-2014-1761: Microsoft Office DoS（內存破壞）漏洞

CVE-2013-2729: Adobe Reader 和Acrobat 溢出漏洞

CVE-2012-0158: Microsoft Office的ActiveX 控制項破壞漏洞

CVE-2010-3333: Microsoft Office RTF文檔棧溢出漏洞

CVE-2009-3129: Microsoft Office 兼容包遠程攻擊漏洞

駐留程序安裝

攻擊者使用了多種方式植入惡意駐留程序，可以通過一些公開報告和對Sofacy和Onion Duke的研究發現。

近期，DHS分析了「灰熊草原」相關的17個PHP文件、3個執行程序和1個RTF文檔，其中PHP文件是攻擊者用來進行遠程管理被入侵網站的webshell，RTF文檔則內置了惡意可執行程序。（分析結果標記為MIFR-10105049）

C&C控制

攻擊者利用C&C方式進一步安裝特定惡意程序和控制管理，這些C&C方式一般通過被入侵網站或公開的網路基礎設施來進行中轉，如短鏈接網站服務、TOR隱蔽服務等，但大多為通過IP或域名反彈方式連接管理植入程序。

目標攻擊行為

攻擊者在不同的攻擊目標和活動中使用了多種惡意植入程序，通過這些程序實現敏感數據、郵件和用戶憑據竊取等目的。

檢測響應

DHS依據被攻擊主機和網路檢測響應機制發現的技術性證據，這些證據包括攻擊者使用的惡意代碼、程序指紋和網路行為等信息，在報告附錄中分析並列出了詳細的，與APT28和APT29相關的入侵指標和YARA惡意軟體匹配規則。

報告最後對相應的攻擊給出了防禦和緩解措施。

APT28和APT29技術性證據

包括一些SNORT規則、YARA規則和惡意代碼指紋，如：

詳細證據請參考原報告：AR-17-20045

*參考來源：

US-CERT

，FB小編clouds編譯，轉載請註明來自FreeBuf.COM。