美国发布白皮书披露中国黑客组织Volt Typhoon网络攻击细节

【纬度新闻网】美国网络安全和基础设施安全局(CISA)5月24日发文称，美国和国际网络安全当局发布的联合网络安全咨询 (CSA)，发现一组与中华人民共和国国家支持的网络攻击者（也称为Volt Typhoon）相关的活动。有关部门已经确定此活动会影响美国关键基础设施部门的网络，并且认为攻击者可以对付这些部门和全球其他应用相同的技术的部门。

文章称，攻击者利用受感染的小型办公室/家庭办公室 (SOHO) 网络设备作为中间基础设施，通过让大部分命令和控制 (C2) 流量来自受害者所在地理区域的本地 ISP 来掩盖他们的活动。SOHO 设备的所有者应确保网络管理界面不会暴露在 Internet 上，以避免它们被恶意行为者重新用作重定向器。

为此，美国国家安全局 (NSA)、美国网络安全和基础设施安全局 (CISA)、美国联邦调查局 (FBI)、澳大利亚信号局澳大利亚网络安全中心 (ACSC)、通信安全机构加拿大网络安全中心 (CCCS)、新西兰国家网络安全中心 (NCSC-NZ) 和英国国家网络安全中心 (NCSC-UK)联合发布白皮书，披露技术细节、攻击者使用的战术和技术、威胁情报以及如何保护网络免受此类攻击的建议。

攻击者的主要策略、技术和程序 (TTP) 之一是“Living Off the Land”，它使用内置的网络管理工具来执行他们的目标。此 TTP 允许攻击者通过融入正常的 Windows 系统和网络活动来逃避检测，避免端点检测和响应 (EDR) 产品，这些产品会在第三方应用程序引入主机时发出警报，并限制活动的数量在默认日志记录配置中捕获。该参与者使用的一些内置工具是：wmic、ntdsutil、netsh 和 PowerShell。该公告提供了攻击者命令的示例以及检测签名，以帮助网络防御者寻找此活动。包含的许多行为指标也可以是出现在良性活动中的合法系统管理命令。

文章还披露了很多网络攻击的细节，如端口、命令、日志、文件名等，最后还提出了一些安全建议措施，比如：防御者应该为 Windows 安全日志设置审核策略，除了访问日志之外，还应包括“审核进程创建”和“在进程创建事件中包含命令行”等。

来源参考：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a