美国国土安全部详细分析俄罗斯的黑客行为，披露美国大选真相

上周五（2月10日），美国国土安全部（DHS）国家网络安全和通信集成中心（NCCIC）发布了一份最新报告，提供了额外的攻击指标以及使用“网络杀伤链”检测了关于“灰熊草原（Grizzly Steppe）”黑客的攻击活动。

2016年12月29日，美国国土安全局和美国联邦调查局（FBI）发布了一份初始联合分析报告（JAR），详细说明了俄罗斯黑客“灰熊草原”在干涉美国总统竞选活动中所使用的工具和基础设施。但是安全专家认为，此前的这份报告并不够完善和准确。

虽然最初的报告中包含了一系列的攻击指标（IOCs），但有些人认为它们的质量过低，对防御者的效用有限，可能只是作为政治工具而发布的，目的是试图将攻击活动与俄罗斯联系到一起。

最新的报告是由美国国土安全部作为一份分析报告（AR）发布，对“与Grizzly Steppe黑客有关的攻击者如何渗透系统的方法进行了彻底地分析”。此外，报告还提供了额外的攻击指标以及利用网络杀伤链的分析结果，并提出可以用于对抗Grizzly Steppe黑客的防御技术。

利用网络杀伤链分析Grizzly Steppe攻击行为

国土安全部分析师利用Lockheed Martin公司创建的“网络杀伤链”架构描述了攻击的各个阶段。报告总结了该组织在干预总统竞选期间“网络杀伤链”的每个阶段：侦查、武器准备、传递、探察、安装、指挥与控制（C2）以及针对目标的行动。

报告还提供了详细的主机和网络签名信息，帮助防御者检测和应付Grizzly Steppe黑客相关活动，包括与攻击相关的额外的YARA规则和攻击指标等信息。

国土安全部发言人此前曾表示，参与此次政治攻击的攻击者来自两个不同的组织，其中一个出现在2015年夏天，名为“APT29”，另一个出现在2016年春天，名为“APT28”。前者也被称为“Cozy Bear或是CozyDuke”，而后者则是大家熟知的“Fancy Bear，也称Pawn Storm、Strontium、Sofacy、Sednit 或是Tsar Team”。

国土安全部建议安全团队从多种途径获取关于“GRIZZLY STEPPE”黑客的信息，虽然国土安全部并不支持任何特定企业或是他们的发现，但是我们相信文学创造的宽度需要多源信息的支持，以提高对于网络威胁的整体认知能力。国土安全部鼓励分析师对这些资源进行评估，以确定他们当地网络环境的威胁水平。

补充知识：关于网络杀伤链（Cyber Kill Chain）

对于保卫者来说，杀伤链最重要的课题是在敌人达成其期望目标之前要洞悉敌人从每一步成功进入下一步的详情；仅需一次反制即可打断链条并击败敌方。

洛克希德•马丁公司（Lockheed Martin）将“杀伤链”的七大步骤及各步骤特征概括如下：

1、侦查。目标的研判、识别和选定通常表现为用特定技术在互联网网站上搜索电子邮箱或有关信息。

2、“武器”准备。通常用私自开发的自动工具连接一个远程访问木马进入一个可传递（信息）的负载系统中。逐渐地，像微软 Office 文档或 Adobe PDF 文件等数据文件等都可作为“武器”传递“设备”。

3、传递。“武器”向目标（网络或系统）的传递。最常见的“武器载体”传送物件（vector）是电子邮件、网站和USB可移动介质。

4、探察。触发攻击者的代码。最常见的方式是探察一个应用程序或操作系统的漏洞。简单的探察方式是劝诱用户打开邮件所带的可执行附件，或利用操作系统自动执行代码的特性。

5、安装。在被感染的系统中安装一个具有远程访问功能的木马或后门，允许攻击者影响系统的所有用户，且在系统重启仍能保持存在。

6、指挥与控制（C2）。最常见的做法是利用一个连入互联网服务器的国外设备完成建立C2通道的目标。这种连接提供手动的“键盘控制”访问，这也是大多数 APT 恶意件必定提供的功能。

7、针对目标的活动。最终步骤必须在入侵成功后展开。最常见的目标是数据窃取，以及搜集、加密和窃取危及系统的信息。攻击者也可能会试图破坏数据完整性和可用性。其他目的可能是从受害者的IT环境中侧向转移，在后来的目标中展开新的杀伤链。

初始分析报告下载
https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296.pdf

最新分析报告下载

https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf