美国DHS公布俄罗斯网络攻击活动报告--局域网监控软件
[时间:2017-01-07]  [文章来源:上海百络]  [责任编辑:admin]

       美国总统奥巴马签署了一项总统行政令,决定驱逐总计35名俄罗斯外交官,并授权对俄罗斯政府的多个民事与军事情报机构进行新一轮经济制裁。12月30日中午起,美国禁止俄罗斯外交官进入领事馆。美国关闭俄罗斯驻马里兰和纽约的领事馆,其原因是这些领事馆似乎从事情报工作。奥巴马将驱逐的俄罗斯外交官称作“间谍”。此举是为了回应俄罗斯方面对本轮美国总统选举的干涉。美国联邦调查局FBI、美国国土安全部DHS于2016年12月29日联合发布了一份题为《灰熊草原-俄罗斯的恶意网络监控活动》的联合分析报告,提供了有关俄罗斯涉嫌干预大选的更多技术细节。美国国土安全部公共事务部长助理陶德-布里斯莱在2016年12月30日发布了美国政府调查结果执行摘要,此项调查指向由俄罗斯方面组织的“灰熊草原”恶意网络活动。E安全译制整理了调查报告的摘要,具体内容如下:

    俄罗斯民事与军事情报机构对美国政府及其公民进行了高复杂度攻击性网络入侵行动。美国政府将此次行动称为“灰熊草原”。此轮网络活动包括针对政府机构、关键性基础设施实体、智库组织、高校、政治团体以及企业的窥探活动,同时亦包括从这些组织机构处窃取信息。相关被盗信息随后由第三方加以公开发布。针对美国盟友及合作伙伴在内的其它国家进行的网络攻击活动当中,俄罗斯情报部门(简称RIS)采取了破坏性乃至颠覆性的网络活动手段,具体包括打击关键性基础设施——在某些情况下相关攻击被伪装成源自第三方或者嫁祸至某些经过伪造的网络对象,旨在令受害方错误归因攻击来源。

       俄罗斯情报部门通常会利用鱼叉式钓鱼攻击访问目标系统(详见下图一),APT 29从2015年夏天开始入侵政党内部系统窃取资料。而另一个组织APT28,从2016年春天开始就针对美国政党进行恶意网络活动。在2015-16攻击活动中俄罗斯网络攻击分子活动利用鱼叉式钓鱼活动渗透并驻留于目标网络之内,获得高级权限并窃取(或者‘泄露’)信息。这些攻击者通过欺诈方式诱导收件人通过某假冒网站变更其密码内容,此看似合法的网站为俄罗斯方面精心构建。攻击者们随后会利用由此获得的凭证——用户名与密码——作为合法用户访问目标网络。在此基础上,他们安装其它恶意文件、随意往来于整个目标网络之内、收集数据与信息并将其泄露至外部。俄罗斯攻击者目前仍在持续进行钓鱼活动,最新一次行动发生于2016年11月,即美国新一届总统大选的数日之前。

    APT28的主要攻击步骤:
    1、APT28发送邮件给目标人员并诱骗他们去伪造的钓鱼网站修改个人信息及密码;
    2、目标人员点击链接会被重定向到APT28精心准备的钓鱼网站,并获取用户输入的信息及密码;
    3、APT28使用这些获取到的账号和密码,登录目标系统并窃取大量敏感信息。

    APT29的主要攻击步骤
    1、2015年夏天,APT29 使用合法的域名,发送超过1000封钓鱼邮件给政府官员,邮件内容中含有恶意链接;
    2、至少有一名收件人点击激活了此恶意链接并下载木马;
    3、APT29通过此木马,向目标政党组织的IT系统上传恶意软件;
    4、APT29通过控制主机、提权,暴力破解域、账号、密码等方式,获取部门账号和密码;
    5、APT29使用这些账号和密码获取了更多敏感信息,并通过加密通道,以邮件的方式把这些信息传输出去。

       美国国土安全部(简称DHS)与联邦调查局(简称FBI)共同发布了一份《联合分析报告》(简称JAR),其中披露了俄罗斯情报部门(简称RIS)用于入侵并滥用美国总统大选以及多个美国政府、政治与私营部门实体内相关网络及基础设施的详尽工具及基础设施选项。这份报告亦为网络防御工作人员提供了识别、检测及破坏俄罗斯全球恶意网络活动所必需的相关工具。美国国土安全部敦促用户及管理员利用这部分信息更好地保护您的自有网络。

          鱼叉式网络钓鱼指一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击。鱼叉式钓鱼攻击利用伪造的电子邮件、文本及其它信息引导用户打开恶意软件或者点击恶意链接。

    鱼叉式钓鱼攻击可导致凭证失窃(例如密码)或者作为入口点供恶意攻击者渗透至组织内部窃取或操纵数据并破坏其正常运营。鱼叉式网络钓鱼锁定之对象并非一般个人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如智慧财产权及商业机密。
         JAR报告中囊括了俄罗斯情报部门用于在各已入侵设备间执行命令与控制活动、发送鱼叉式钓鱼邮件以及窃取凭证所使用的全球各计算机、服务器与其它设备之相关信息。此份JAR报告对各台设备的互联网协议(简称IP)地址进行披露,这组数字作为每台计算设备的“地址”存在并被用于实现各计算机间的数据传输。由于俄罗斯情报部门目前正利用他人网络实施恶意行动以隐藏其真实身份,因此此次披露的计算机IP地址通常来自合法托管网站或者其它互联网服务。其中一部分基础设施已经被局域网监控软件社区发现并关注。而其它基础设施相关信息则刚刚被美国政府完成解密。图三所示的地图显示了新近解密的各IP地址所在的60个国家。本份 JAR文件还包含俄罗斯情报部门通常如何实施恶意活动的相关信息。这部分信息能够帮助网络防御方了解对手的运作方式,从而进一步识别新型攻击活动或者破坏俄罗斯方面正在执行的现有入侵行为。



    [关闭本页]
  关键词:  局域网监控软件,网络监控
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证