一概述-安全加社区.pdfVIP

针对能源等关键基础设施部门的 高级持续威胁APT 活动报告 安全警报（TA17-293A ） 一 概述 本联合技术警报 （TA ）由国土安全部 （DHS ）与联邦调查局 （FBI ）合作分析得出，描述了 针对政府实体和能源、核、水力、航空及关键制造部门组织的高级持续威胁 （APT ）活动。国土 安全部和联邦调查局与国内和国际合作伙伴联手，找出了这些部门中的受害者。本报告介绍了 APT 源起方在入侵受害者网络时所采用的入侵指标（IOC ）和策略、技术与过程（TTP ）的技术 细节。 经评估，国土安全部认定该活动为威胁源起方针对安全性较低的小型网络分阶段实施的入 侵行动，目的是进入能源部门内重要的高价值资产所有者的网络，并在网络中横向移动。根据恶 意软件分析和观察到的IOC ，国土安全部确信，该攻击仍在持续，威胁源起方正积极向其长期行 动的最终目标前进。本报告旨在为安全防御者提供有用信息，以识别、缩小恶意活动的攻击面。 相关文件如下：  TA17-293A_TLP_WHITE.csv  TA17-293A_TLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml  MIFRTLP_WHITE.pdf  MIFRTLP_WHITE_stix.xml 发现入侵后请即刻联系国土安全部或执法部门，请求获取事件响应资源或技术支援。 《TA17-293A–针对能源等关键基础设施部门的高级持续威胁活动》的其他相关信息可向国 土安全部信息网络的NCCIC 门户授权用户提供。NCCIC 门户是基于Web 的安全、协作系统， 用以与公共和私营部门共享敏感的网络相关信息和新闻。用户可查看的信息受《交通灯协议》约 束，确保敏感信息只与相关人群共享。TA17-293A 的补充信息标记为“TLP:AMBER”。关于访问 NCCIC 门户的具体信息，请邮件联系NCCICcustomerservice@ 或致电 888-282-0870 。 受影响系统  域控制器  文件服务器  邮件服务器 问题描述 最迟自2017 年5 月起，威胁源起方将目标对准了政府实体和能源、水力、航空、核及关键 制造部门，并成功入侵了一些受害者的网络。一直以来，网络威胁源起方针对能源部门不断发动 攻击，造成了从网络间谍到有敌对冲突情况下中断对方能源系统的各种后果。[1]同时，威胁源起 方对其他关键基础设施部门也发动了类似攻击。 国土安全部、联邦调查局和可信合作伙伴经过分析，发现了与此活动相关的独特指标和行 为。特别提请注意，就目前仍在持续的这一活动，赛门铁克于2017 年9 月6 日发布的《针对西 方能源部门的高级攻击团队“蜻蜓”》提供了更多信息。[2] 本攻击包括两类不同的受害者：阶段性和既定目标。早期受害者为一些周边组织，如网络不 够安全的可信第三方供应商，本文将这些早期受害者统一称为“阶段性目标”。威胁源起方在攻击 最终既定目标时将阶段性目标的网络作为据点和恶意软件仓库。网络威胁源起方的最终目的是 入侵组织网络，这些组织的网络即本文中所称的“既定目标”。 技术细节 本攻击中的威胁源起方使用了各种TTP ，包括：  开源侦查  鱼叉式钓鱼邮件（从被入侵合法账号发出）  水坑域名  基于主机的利用  选定工业控制系统 （ICS ）基础设施目标  持续收集凭证 二 网络攻击链分析 国土安全部利用网络攻