2月上旬,美国国土安全部(DHS)国家网络安全与通信整合中心(NCCIC)发布了一份新的报告,提供了额外的攻击指标(IOC)和使用网络杀伤链的分析,以检测和缓解俄系“灰熊大草原”黑客行动。
2016年12月29日,DHS和FBI就已发布了一份初步的《联合分析报告》(JAR),描述这些被DHS称为“灰熊大草原”的俄罗斯黑客,在针对美国大选的攻击中所使用的工具和基础设施。然而,安全专家指出,这份之前的报告,并没有兑现其承诺。
虽然该原始报告包含了一系列IOC,有些人称,这些IOC质量低劣,对防御者没什么大用,而且是作为试图将攻击归罪给俄罗斯的政治工具来发布的。
新报告( https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf )被DHS描述为:对“灰熊大草原”黑客团伙相关成员用来渗漏系统的方法进行透彻分析的一份分析报告(AR)。该报告提供了更多的IOC细节,以及对网络杀伤链各阶段的相应分析,并且提出了对抗“灰熊大草原”攻击者的具体缓解技术。
利用网络杀伤链分析“灰熊大草原”
网络杀伤链是洛克希德马丁公司创建来描述攻击各阶段的一个框架。DHS分析师利用该框架,用网络杀伤链中各个阶段对“灰熊大草原”的活动进行了总结,包括:侦察、武器化、投放、漏洞利用、安装、命令与控制,以及在目标上的行动。
网络威胁杀伤链
该报告还提供了详细的主机与网络特征,帮助防御者检测和缓解“灰熊大草原”相关活动,包括额外的YARA规则和与攻击相关的IOC。
DHS之前曾称,该政治性攻击中牵涉了2个不同攻击者,其一是2015年夏天行动的APT29,另一个则是2016年春天的APT28。前者也被昵称为“安逸熊”或“安逸公爵”,后者花名“奇幻熊”、“兵风暴”、“锶”、Sofacy、Sednit和“沙皇团队”。
DHS建议:安全团队查阅关注“灰熊大草原”的不同机构产出的多份研究报告。
“虽然DHS没有认可任何一家公司或他们的发现,我们相信,多个来源的材料广度,能增强对该威胁的全面理解。DHS鼓励分析师仔细审视这些资源,以确定自身本地网络环境对该威胁的暴露程度。”该机构说道。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 2025年全球网络安全支出将激增15% | 行业观察
- 华为数据存储两大新品齐发:全面闪存化,全面向AI
- 数据中心太耗电,微软携手Constellation Energy探索核能供电新途径
- 戴尔一周内发生两起数据泄露事件,Atlassian工具成泄露源头
- 华为ICT学院年会2024举办,ICT学院3.0计划正式启航
- 华为启动全球金融伙伴“融海计划”,共创行业新价值
- 华为联合多家伙伴发布《现代化金融核心系统白皮书:实践篇》
- 华为发布数据智能解决方案5.0,加速金融大模型应用从“赋能”到“产能”
- 华为加速推动鲲鹏昇腾原生创新,未来三年赋能百万原生人才
- 第九届华为ICT大赛中国赛区报名通道开启,大赛真题集首发
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
