CISA和FBI警告俄罗斯黑客使用PrintNightmare漏洞进行攻击

CISA和FBI警告俄罗斯黑客使用PrintNightmare漏洞进行攻击

警报 (AA22-074A)

俄罗斯国家支持的网络参与者通过利用默认的多因素身份验证协议和“PrintNightmare”漏洞获得网络访问权限

概括

联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 正在发布这份联合网络安全咨询 (CSA) 以警告组织,俄罗斯国家支持的网络参与者已通过利用默认 MFA 协议和已知漏洞获得网络访问权限. 早在 2021 年 5 月,俄罗斯国家支持的网络攻击者就利用了一个非政府组织 (NGO) 设置为默认 MFA 协议的错误配置帐户,允许他们为 MFA 注册新设备并访问受害者网络。然后,攻击者利用了一个关键的 Windows Print Spooler 漏洞“PrintNightmare”(CVE-2021-34527)以系统权限运行任意代码。俄罗斯国家支持的网络攻击者成功利用了该漏洞,同时针对使用思科 Duo MFA 的非政府组织,

该公告提供了观察到的策略、技术和程序、侵害指标 (IOC) 以及防范俄罗斯国家支持的恶意网络活动的建议。FBI 和 CISA 敦促所有组织应用本公告“缓解措施”部分中的建议,包括以下内容:

  • 实施 MFA 并审查配置策略以防止出现“失败打开”和重新注册情况。
  • 确保在 Active Directory 和 MFA 系统中统一禁用非活动帐户。 
  • 修补所有系统。优先修补已知被利用的漏洞

有关俄罗斯国家支持的恶意网络活动的更多一般信息,请参阅 CISA 的俄罗斯网络威胁概述和咨询网页。有关俄罗斯国家支持的恶意网络参与者对美国关键基础设施的威胁以及其他缓解建议的更多信息,请参阅联合 CSA了解和减轻俄罗斯国家支持的网络威胁对美国关键基础设施的威胁和 CISA 的Shields Up 技术指导网页。

单击此处获取本报告的 PDF 版本。

有关 IOC 的可下载副本,请参阅AA22-074A.stix

多因素身份验证 (MFA):网络安全必不可少
• MFA 是降低入侵风险的最重要的网络安全实践之一——根据行业研究,启用 MFA 的用户帐户被盗的可能性降低了 99%。
• 每个组织都应为所有员工和客户实施 MFA,并且每个用户都应在可用时注册 MFA。
• 实施 MFA 的组织应审查默认配置并根据需要进行修改,以降低老练的对手绕过此控制的可能性。

CISA和FBI警告俄罗斯黑客使用PrintNightmare漏洞进行攻击

技术细节

威胁行为者活动

注意:本公告使用 MITRE ATT&CK® for Enterprise 框架版本 10。有关映射到 MITRE ATT&CK 策略和技术的威胁​​参与者活动表,请参见附录 A。

早在 2021 年 5 月,FBI 就观察到俄罗斯国家支持的网络攻击者可以访问 NGO,利用默认 MFA 协议中的缺陷,并横向移动到 NGO 的云环境。

俄罗斯国家资助的网络参与者通过泄露的凭据 [ T1078 ] 获得了对受害者组织的初始访问权限 [ TA0001 ],并在该组织的 Duo MFA 中注册了一个新设备。演员通过暴力密码猜测攻击 [ T1110.001 ]获得了凭证 [ TA0006 ]],允许他们使用简单、可预测的密码访问受害者帐户。由于长时间不活动,受害者帐户已从 Duo 中取消注册,但未在 Active Directory 中禁用。由于 Duo 的默认配置设置允许为休眠帐户重新注册新设备,因此攻击者能够为该帐户注册新设备、完成身份验证要求并获得对受害者网络的访问权限。  

俄罗斯国家支持的网络攻击者使用受损帐户通过利用“PrintNightmare”漏洞 ( CVE-2021-34527 ) [ T1068 ] 进行权限升级 [ TA0004 ] 以获得管理员权限。参与者还修改了域控制器文件c:\windows\system32\drivers\etc\hostslocalhost,将 Duo MFA 调用重定向到而不是 Duo 服务器 [ T1556 ]。此更改阻止 MFA 服务联系其服务器以验证 MFA 登录 – 这实际上禁用了活动域帐户的 MFA,因为如果 MFA 服务器无法访问,Duo for Windows 的默认策略是“失败打开”。注意: “失败打开”可能发生在任何 MFA 实现中,并且不是 Duo 独有的。

在有效禁用 MFA 后,俄罗斯国家支持的网络攻击者能够以非管理员用户身份成功向受害者的虚拟专用网络 (VPN) 进行身份验证,并与 Windows 域控制器建立远程桌面协议 (RDP) 连接 [ T1133 ]。参与者运行命令以获取其他域帐户的凭据;然后使用上一段中描述的方法,更改 MFA 配置文件并为这些新受感染的帐户绕过 MFA。攻击者主要利用受害者网络中已经存在的内部 Windows 实用程序来执行此活动。  

在没有强制执行 MFA 的情况下使用这些受感染的帐户,俄罗斯国家支持的网络参与者能够横向移动 [ TA0008 ] 到受害者的云存储和电子邮件帐户并访问所需的内容。 

侵害指标(IOCs)

俄罗斯国家支持的网络参与者执行以下流程:

  • ping.exe– 用于执行传输控制协议 (TCP)/IP Ping 命令的核心 Windows 操作系统进程;用于测试与远程主机的网络连接 [ T1018 ],并且经常被参与者用于网络发现 [ TA0007 ]。
  • regedit.exe– 打开内置注册表编辑器的标准 Windows 可执行文件 [ T1112 ]。
  • rar.exe– 一种数据压缩、加密和归档工具 [ T1560.001 ]。恶意网络行为者传统上试图破坏 MFA 安全协议,因为这样做会提供对帐户或感兴趣信息的访问权限。 
  • ntdsutil.exe– 为 Active Directory 域服务提供管理工具的命令行工具。此工具可能用于枚举 Active Directory 用户帐户 [ T1003.003 ]。

Actor 修改了 c:\windows\system32\drivers\etc\hosts 文件以阻止与 Duo MFA 服务器的通信:

127.0.0.1 api-<redacted>.duosecurity.com 

迄今为止,已确定参与者使用的以下IP访问设备地址:

45.32.137[.]94
191.96.121[.]162
173.239.198[.]46
157.230.81[.]39 

缓解措施

FBI 和 CISA 建议各组织保持认识到国家支持的网络行为者利用默认 MFA 协议和泄露敏感信息的威胁。组织应:

  • 对所有用户强制执行 MFA,无一例外。在实施之前,组织应审查配置策略以防止出现“失败开放”和重新注册情况。
  • 实施超时和锁定功能以响应重复的失败登录尝试。
  • 确保在 Active Directory、MFA 系统等中统一禁用非活动帐户。
  • 及时更新 IT 网络资产上的软件,包括操作系统、应用程序和固件。优先修补已知被利用的漏洞,尤其是允许在面向互联网的设备上远程执行代码或拒绝服务的关键和高漏洞。
  • 要求所有使用密码登录的帐户(例如,服务帐户、管理员帐户和域管理员帐户)都具有强而唯一的密码。密码不应跨多个帐户重复使用或存储在对手可能有权访问的系统上。
  • 持续监控网络日志中的可疑活动以及未经授权或异常的登录尝试。
  • 为启用安全的帐户/组的所有更改实施安全警报策略,并对可疑的进程创建事件(ntdsutilrarregedit等)发出警报。

注意:如果怀疑域控制器受到威胁,则需要重置域范围的密码(包括服务帐户、Microsoft 365 (M365) 同步帐户和)krbtgt以删除参与者的访问权限。(有关详细信息,请参阅https://docs.microsoft.com/en-us/answers/questions/87978/reset-krbtgt-password.html)。考虑向第三方 IT 组织寻求支持,以提供主题专业知识,确保从网络中根除参与者,并避免可能导致后续利用的残留问题。  

FBI 和 CISA 还建议组织实施以下建议,以进一步降低恶意网络活动的风险。

安全最佳实践

  • 部署本地管理员密码解决方案 (LAPS),强制执行服务器消息块 (SMB) 签名,限制管理权限(本地管理员用户、组等),并查看域控制器SYSVOL共享上的敏感材料。
  • 启用增加的日志记录策略,强制执行 PowerShell 日志记录,并确保将防病毒/端点检测和响应 (EDR) 部署到所有端点并启用。
  • 定期验证没有发生未经授权的系统修改,例如额外的帐户和安全外壳 (SSH) 密钥,以帮助检测危害。为了检测这些修改,管理员可以使用文件完整性监控软件来提醒管理员或阻止系统上未经授权的更改。 

网络最佳实践

  • 监控远程访问/RDP 日志并禁用未使用的远程访问/RDP 端口。
  • 拒绝来自已知匿名化服务的非典型入站活动,包括商业 VPN 服务和洋葱路由器 (TOR)。
  • 为应用程序和远程访问实施列表策略,仅允许系统在已建立的安全策略下执行已知和允许的程序。
  • 定期审核管理用户帐户,并在最低权限的概念下配置访问控制。 
  • 定期审核日志以确保新帐户是合法用户。
  • 扫描网络以查找开放和侦听端口,并调解那些不必要的端口。
  • 将历史网络活动日志保留至少 180 天,以防出现疑似入侵事件。
  • 识别和创建关键资产的离线备份。
  • 实施网络分段。
  • 自动更新反病毒和反恶意软件解决方案,并定期进行病毒和恶意软件扫描。

远程工作环境最佳实践

随着远程工作环境的增加和 VPN 服务的使用,FBI 和 CISA 鼓励组织实施以下最佳实践来提高网络安全性:

  • 使用最新的软件补丁和安全配置定期更新 VPN、网络基础设施设备和用于远程工作环境的设备。
  • 如果可能,对所有 VPN 连接实施多因素身份验证。物理安全令牌是最安全的 MFA 形式,其次是身份验证器应用程序。当 MFA 不可用时,要求从事远程工作的员工使用强密码。
  • 监控未经批准和意外协议的网络流量。
  • 通过停止可能用作攻击者入口点的未使用 VPN 服务器来减少潜在的攻击面。

用户意识最佳实践

网络参与者经常使用简单的方法来获得初始访问权限,这通常可以通过增强员工对恶意活动指标的意识来缓解。FBI 和 CISA 推荐以下最佳实践,以提高员工在开展业务时的运营安全:

  • 提供最终用户意识和培训。为帮助防止有针对性的社会工程和鱼叉式网络钓鱼诈骗,请确保员工和利益相关者了解潜在的网络威胁和交付方法。此外,为用户提供有关信息安全原则和技术的培训。 
  • 告知员工将详细的职业信息发布到社交或专业网站的相关风险。
  • 确保员工在看到可疑活动或怀疑网络攻击时知道该做什么以及与谁联系,以帮助快速有效地识别威胁并采用缓解策略。

要求的信息

所有组织都应通过您当地的 FBI 外地办事处或 FBI 的 24/7 CyWatch (855)292-3937 或[email protected]ov和/或 CISA 的 24/7 运营中心([email protected] )向 FBI 报告事件和异常活动.gov或 (888) 282-0870。 

附录 A:威胁行为者策略和技术

有关此 CSA 中确定的威胁参与者的策略和技术,请参见表 1。有关所有引用的威胁行为者策略和技术,请参阅ATT&CK for Enterprise

表 1:威胁行为者 MITRE ATT&CK 策略和技术

战术技术
初始访问 [ TA0001 ]有效账户 [ T1078 ]
坚持[ TA0003 ]外部远程服务 [ T1133 ]
修改认证过程 [ T1556 ]
权限提升 [ TA0004 ]提权利用
T1068 ]
防御规避 [ TA0005 ]修改注册表 [ T1112 ]
凭证访问 [ TA0006 ]暴力破解:密码猜测 [ T1110.001 ]
操作系统凭证转储:NTDS [ T1003.003 ]
发现 [ TA0007 ]远程系统发现 [ T1018 ]
横向运动 [ TA0008 ]  
收集 [ TA0009 ]存档收集的数据:通过实用程序存档 [ T1560.001 ]

修订

2022 年 3 月 15 日:初始版本

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注

8 + 15 =