2月上旬,美国国土安全部(DHS)国家网络安全与通信整合中心(NCCIC)发布了一份新的报告,提供了额外的攻击指标(IOC)和使用网络杀伤链的分析,以检测和缓解俄系“灰熊大草原”黑客行动。
2016年12月29日,DHS和FBI就已发布了一份初步的《联合分析报告》(JAR),描述这些被DHS称为“灰熊大草原”的俄罗斯黑客,在针对美国大选的攻击中所使用的工具和基础设施。然而,安全专家指出,这份之前的报告,并没有兑现其承诺。
虽然该原始报告包含了一系列IOC,有些人称,这些IOC质量低劣,对防御者没什么大用,而且是作为试图将攻击归罪给俄罗斯的政治工具来发布的。
新报告( https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf )被DHS描述为:对“灰熊大草原”黑客团伙相关成员用来渗漏系统的方法进行透彻分析的一份分析报告(AR)。该报告提供了更多的IOC细节,以及对网络杀伤链各阶段的相应分析,并且提出了对抗“灰熊大草原”攻击者的具体缓解技术。
利用网络杀伤链分析“灰熊大草原”
网络杀伤链是洛克希德马丁公司创建来描述攻击各阶段的一个框架。DHS分析师利用该框架,用网络杀伤链中各个阶段对“灰熊大草原”的活动进行了总结,包括:侦察、武器化、投放、漏洞利用、安装、命令与控制,以及在目标上的行动。
网络威胁杀伤链
该报告还提供了详细的主机与网络特征,帮助防御者检测和缓解“灰熊大草原”相关活动,包括额外的YARA规则和与攻击相关的IOC。
DHS之前曾称,该政治性攻击中牵涉了2个不同攻击者,其一是2015年夏天行动的APT29,另一个则是2016年春天的APT28。前者也被昵称为“安逸熊”或“安逸公爵”,后者花名“奇幻熊”、“兵风暴”、“锶”、Sofacy、Sednit和“沙皇团队”。
DHS建议:安全团队查阅关注“灰熊大草原”的不同机构产出的多份研究报告。
“虽然DHS没有认可任何一家公司或他们的发现,我们相信,多个来源的材料广度,能增强对该威胁的全面理解。DHS鼓励分析师仔细审视这些资源,以确定自身本地网络环境对该威胁的暴露程度。”该机构说道。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 央国企采购管理升级,合合信息旗下启信慧眼以科技破局难点
- Apache Struts重大漏洞被黑客利用,远程代码执行风险加剧
- Crunchbase:2024年AI网络安全行业风险投资超过26亿美元
- 调查报告:AI与云重塑IT格局,77%的IT领导者视网络安全为首要挑战
- 长江存储发布声明:从无“借壳上市”意愿
- 泛微·数智大脑Xiaoe.AI正式发布,千人现场体验数智化运营场景
- IDC:2024年第三季度北美IT分销商收入增长至202亿美元
- AI成为双刃剑!凯捷调查:97%组织遭遇过GenAI漏洞攻击
- openEuler开源五年树立新里程碑,累计装机量突破1000万
- 创想 华彩新程!2024柯尼卡美能达媒体沟通会焕新增长之道
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
