FBI和DHS的联合分析报告也未能指认俄罗斯为攻击美国大选的真凶
作者: 日期:2017年01月05日 阅:4,733

安全专家称:美国国土安全部(DHS)和联邦调查局(FBI)日前发布的《联合分析报告》(JAR),并未达到其预期效果。该报告描述了俄罗斯黑客在针对美国大选的网络攻击中使用的各种工具。

jar%e6%8a%a5%e5%91%8a

美国政府一开始就指称,JAR旨在揭秘俄罗斯民间和军方情报机构(RIS)开展的恶意网络活动技术信息。这些网络攻击活动被统称为“灰熊大草原”,揭秘这些信息,是为使美国及海外网络防御者,更好地识别、检测和摧毁俄罗斯的全球恶意网络活动。

然而,一些安全专家认为,JAR报告中包含的信息,并不足以帮助改善防御。而且,有些专家认为,报告中提供的“证据”——“安逸熊( Cozy Bear,APT29 )”和“奇幻熊( Fancy Bear,APT28 )”是大选攻击活动背后的黑客组织,实际上证明不了俄罗斯就是这些攻击的主使。

apt29%e5%92%8capt28%e6%b6%89%e5%8f%8a%e7%9a%84%e6%88%98%e6%9c%af%e5%92%8c%e6%8a%80%e5%b7%a7

APT 29和APT 28涉及的战术和攻击技巧

该报告包括了一系列攻击指标(IOC),但安全专家罗伯特·格拉汉姆解释说,这些指标质量很差,对防御者用处不大,更多是作为一种政治工具,用来证明他们有证据指向俄罗斯而已。

其中一个工具,就是安全研究人员常用来分类文件和分析感染源的YARA规则。美国计算机紧急响应小组(US-CERT)的“灰熊大草原”报告中所用的YARA规则,检测出了一款俄罗斯/乌克兰黑客惯用 Web Shell 工具,名为“ PAS TOOL WEB KIT ”。

格拉汉姆称,所有受害系统上均有同样的 Web Shell 存在,因为黑客有继续使用惯用工具的习惯,YARA规则在追踪黑客活动的时候很有用。然而,JAR中的问题在于,其中提到的YARA规则,是用于追踪成百上千的黑客都在用的P.A.S. Web Shell 的,这就让其溯源归因结果很成问题了。除非,该报告还隐瞒了某些用于溯源的信息。

我们对政府如何使用这些IoC所知甚少。IP地址和像这样的YARA规则,不足以归因。换句话说,如果他们搞到了多名受害者的 Web 服务器日志,显示出来自这些IP地址的指令流向了该特定 Web Shell,那么就有足够的理由得出所有这些攻击都是同一伙黑客所为的结论了。

Dragos安全公司CEO兼创始人罗伯特·M·李,同样认为该报告归因溯源证据很弱,其中包含的技术细节没有达到预期目的:对网络防御者无甚帮助,也揭示不出有关这两个APT的新信息——尽管硬说这些攻击都是“两只熊”所为(还没提供大家都期待的所谓证据)。

robert-m-lee_person_imageoriginal-450

罗伯特·M·李

正如李所指出的,白宫随针对俄罗斯的一系列制裁公布的情况说明单透露出:JAR将包含俄罗斯恶意软件的揭秘信息,提供俄罗斯所用新战术和技术的细节,并验证之前发布的私营部门的数据。然而,这些都没有包含在里面。

很不幸,虽然白宫展现的意图是很明确的,但DHS/FBI报告并没有抓住重点。事实上,该报告穿插交织了一堆不相干的数据,反而造成了混乱;没能为呈现的数据提供源头,让信息毫无用处;其提供的IoC,比如IP地址,则是几乎毫无用处(都是些VPS、Tor出口节点、代理和其他不具说明性的互联网站点)。

不过,依李看来,报告没能起到预期效果,倒不是因为负责编译报告的政府操作者没做好工作,而是因为之后经历的一系列审查和脱密处理,把最好的信息给去掉了。这种事,美国情报机构公开发布任何类型的信息之前都会做的。

这些技术性数据和归因证据,很可能包含在上呈国会的报告中,之后或许会被解密。“不过,‘灰熊大草原’报告读起来可真像是粗制滥造的厂商威胁情报报告,只是简单串连一堆各方面的归因溯源,还不给证据。”

灰熊大草原报告没能达到帮助网络防御者的预期目的,反而将重点放在了一堆令人困惑的各式各样的归因、不具说明性的指标,和拙劣老套的谍报技术上。而且,报告的主体(13页中的8页)只是一些总体的高层次上的建议,而不是对RIS威胁的具体描述,跟哪些行为有助于这些技术性数据的哪个方面也无甚关联。看起来就像是DHS试图支持的文档和项目的一个广告。

对JAR中包含的PHP恶意软件样本的分析揭示:这就是 P.A.S. Web Shell 的一个早期版本 3.1.0,是很常见的一个版本。该恶意软件的站点指向了更新的版本—— 3.1.7 和 4.1.1b,并宣称是乌克兰人开发的。

“是个人都会觉得,俄罗斯情报人员应该会开发自己的工具,或者至少也用个当前版本的外援恶意工具吧?”

报告中列出的876个IP地址中,有134个(占比15%)都是Tor出口节点,也就是使用Tor匿名浏览服务的任何人都能使用的“匿名网关”。而且,最近60天里很多复杂攻击使用的最活跃的50个IP地址中,大多数都是Tor出口节点,意味着这些IP地址不能用于归因溯源。

DHS提供的IP地址,可能被俄罗斯之类国家黑客用于攻击。但其本身并不能提供任何与俄罗斯的关联。它们也可能被其他各种各样的恶意人士使用,尤其是其中15%的IP地址都是Tor出口节点。报告中的恶意软件样本实在太老,使用广泛,而且看起来是乌克兰人开发的。与俄罗斯情报机构之间没有明显联系,可能是任何一个站点的攻击指标。

这份报告很模糊,语焉不详,这就是问题所在。

报告并没有很直白地跳出来说:嘿,俄罗斯联邦安全局(FSB,前身为克格勃)和格勒乌(GRU,俄军总参谋部情报总局)黑了我们,而且一黑十几二十年。而只是简单地指向APT小组,影射他们是这些机构的一部分,但又不提供实际细节。

该报告也没有提供有关这些威胁小组活动的新信息。仔细审视这份报告,其中并没有关于这些黑客组织及其所用技术的任何新信息。这里面有新闻价值的元素,就是攻击者身份及其攻击政治系统的动机,和对国家安全的影响。

报告下载地址:

https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296.pdf

相关阅读

揭秘|攻击美国政府系统的俄罗斯黑客

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

修改他人的航班预订竟然如此容易

下一篇

智能设备需要安全 初创公司看你的啦!

呼吸自由的空气

相关文章

厂商供稿

APT攻击分析报告-Saaiwc Group组织APT攻击行为分析

厂商供稿

APT攻击分析报告- Lazarus组织APT攻击行为分析

厂商供稿

APT攻击分析报告- APT-C-09(摩诃草)组织APT攻击行为分析