美國國土安全部使用網絡殺傷鏈分析總統(tǒng)大選黑客事件

2月上旬，美國國土安全部(DHS)國家網絡安全與通信整合中心(NCCIC)發(fā)布了一份新的報告，提供了額外的攻擊指標(IOC)和使用網絡殺傷鏈的分析，以檢測和緩解俄系“灰熊大草原”黑客行動。

2016年12月29日，DHS和FBI就已發(fā)布了一份初步的《聯(lián)合分析報告》（JAR)，描述這些被DHS稱為“灰熊大草原”的俄羅斯黑客，在針對美國大選的攻擊中所使用的工具和基礎設施。然而，安全專家指出，這份之前的報告，并沒有兌現(xiàn)其承諾。

雖然該原始報告包含了一系列IOC，有些人稱，這些IOC質量低劣，對防御者沒什么大用，而且是作為試圖將攻擊歸罪給俄羅斯的政治工具來發(fā)布的。

新報告( https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf )被DHS描述為：對“灰熊大草原”黑客團伙相關成員用來滲漏系統(tǒng)的方法進行透徹分析的一份分析報告(AR)。該報告提供了更多的IOC細節(jié)，以及對網絡殺傷鏈各階段的相應分析，并且提出了對抗“灰熊大草原”攻擊者的具體緩解技術。

利用網絡殺傷鏈分析“灰熊大草原”

網絡殺傷鏈是洛克希德馬丁公司創(chuàng)建來描述攻擊各階段的一個框架。DHS分析師利用該框架，用網絡殺傷鏈中各個階段對“灰熊大草原”的活動進行了總結，包括：偵察、武器化、投放、漏洞利用、安裝、命令與控制，以及在目標上的行動。

網絡威脅殺傷鏈

該報告還提供了詳細的主機與網絡特征，幫助防御者檢測和緩解“灰熊大草原”相關活動，包括額外的YARA規(guī)則和與攻擊相關的IOC。

DHS之前曾稱，該政治性攻擊中牽涉了2個不同攻擊者，其一是2015年夏天行動的APT29，另一個則是2016年春天的APT28。前者也被昵稱為“安逸熊”或“安逸公爵”，后者花名“奇幻熊”、“兵風暴”、“鍶”、Sofacy、Sednit和“沙皇團隊”。

DHS建議：安全團隊查閱關注“灰熊大草原”的不同機構產出的多份研究報告。

“雖然DHS沒有認可任何一家公司或他們的發(fā)現(xiàn)，我們相信，多個來源的材料廣度，能增強對該威脅的全面理解。DHS鼓勵分析師仔細審視這些資源，以確定自身本地網絡環(huán)境對該威脅的暴露程度?！痹摍C構說道。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。