当前位置: 首页 > news >正文

CISA事件响应实战经验:漏洞修复与应急响应关键教训

执行摘要

CISA在美国联邦民事行政部门机构检测到端点检测与响应工具生成的安全警报后启动了事件响应工作。CISA从此次事件中总结了三个关键教训:漏洞未及时修复、机构未测试或演练其事件响应计划、EDR警报未持续审查。

关键行动

  • 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵
  • 通过维护、实践和更新事件响应计划来为事件做好准备
  • 通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做好准备

技术细节

威胁行为者活动

CISA发现网络威胁行为者通过利用GeoServer漏洞CVE-2024-36401获得了机构网络的访问权限。这个关键漏洞于2024年6月30日披露,允许未经身份验证的用户在受影响的GeoServer版本上获得远程代码执行能力。

攻击者活动时间线:

  • 2024年7月11日:通过CVE-2024-36401获得对GeoServer 1的初始访问
  • 2024年7月24日:通过相同漏洞获得对GeoServer 2的初始访问
  • 攻击者横向移动到Web服务器和SQL服务器

攻击技术分析

初始访问

  • 利用CVE-2024-36401获得两个GeoServer的初始访问
  • 使用"eval injection"技术实现远程代码执行

持久化

  • 在面向互联网的主机上使用Web Shell
  • 使用cron作业和有效账户维持访问

横向移动

  • 从Web服务器移动到SQL服务器
  • 启用xp_cmdshell实现远程代码执行

命令与控制

  • 使用Stowaway多级代理工具建立C2通道
  • 使用PowerShell和bitsadmin下载有效载荷

经验教训

漏洞未及时修复

  • 攻击者在漏洞披露11天后利用了第一个GeoServer
  • 漏洞被添加到CISA KEV目录后仍未及时修补第二个GeoServer
  • FCEB机构需在规定时间内修复KEV目录中的漏洞

事件响应计划不足

  • 机构IRP没有涉及第三方协助的程序
  • CISA无法获得SIEM工具的远程访问权限
  • 部署EDR代理需经过变更控制委员会流程
  • 长期未通过桌面演练测试IRP

安全监控缺失

  • 活动在环境中保持未被检测状态达三周
  • 未持续审查EDR警报
  • 某些面向公众的系统缺乏端点保护

缓解措施

CISA建议组织实施以下缓解措施:

漏洞管理

  • 建立包含优先级和紧急修补程序的漏洞管理计划
  • 优先修补KEV目录中的已知被利用漏洞
  • 通过自动化资产管理识别高风险系统

事件响应准备

  • 准备书面的IRP政策和计划
  • 包含授予第三方网络和安全工具访问权限的程序
  • 通过紫队演练和桌面演习定期测试IRP

日志记录和监控

  • 在带外集中位置实施全面详细的日志记录
  • 使用SIEM解决方案进行日志聚合和管理
  • 识别、警报和调查异常网络活动

指标妥协

表1提供了与此活动相关的IOC,包括C2服务器IP地址和各种工具的哈希值。组织应在采取行动前调查这些IP地址周围的活动。

MITRE ATT&CK技术映射

该咨询提供了威胁行为者活动的详细MITRE ATT&CK映射,包括:

  • 侦察:漏洞扫描
  • 资源开发:虚拟专用服务器
  • 初始访问:利用面向公众的应用程序
  • 持久化:Web Shell、计划任务、有效账户
  • 命令与控制:代理、入口工具传输
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=29676

相关文章:

  • 机器人视觉系统在复杂环境中的自主决策与学习
  • 2025开关按钮厂家最新权威推荐榜:品质卓越与创新设计的行业
  • 装饰器
  • 记录一下 WPF进程 SendMessage 发送窗口消息进行进程间通信,存在进程权限无法接受消息的问题
  • 正睿25noip十连测day5
  • kettle插件-dm数据库插件,解决kettle9.X版本无法连接数据库资源库问题
  • 2025年10月武汉防水公司TOP5权威推荐榜:专业施工与优质服务的行业
  • 2025开发区婚纱照公司最新权威推荐榜:创意拍摄与贴心服务的
  • 用户交互scanner方法学习及使用示例
  • 2025工业网线厂家最新权威推荐榜:稳定传输与耐用品质的首选
  • 完整教程:STM32H743-ARM例程11-PWM
  • 20231427田泽航实验一-4
  • 2025铝合金微弧氧化定制厂家权威推荐榜:品质卓越与技术创新
  • 20231427田泽航实验一-3
  • 信息安全设计/密码系统设计 实验1-1
  • 2025年10月拉伸器厂家最新权威推荐榜:高效稳定与卓越品质的行业首
  • 2025数粒机厂家最新权威推荐榜:精准高效与智能控制的行业首
  • Spring拦截器HandlerInterceptor与Filter方法执行顺序探究
  • 2025精加工车间恒温恒湿系统TOP5榜单:精准控温与高效节
  • 第四章作业
  • 2025数控滚齿机订制厂家权威推荐:高精度与高效能的首选品牌
  • 2025婚纱摄影工作室权威推荐榜:捕捉幸福瞬间的创意大师
  • 详细介绍:初学者小白复盘11之——指针(1)
  • 2025-10-12
  • hex、bin、axf文件的区别
  • 20232417 2025-2026-1 《网络与系统攻防技术》实验一实验报告
  • 2025黄金回收品牌TOP5权威榜单:值得信赖的高性价比厂家
  • [数据分析/BI] Microsoft Power BI 使用指南
  • 机器人技术在现实世界中的挑战与创新
  • Motorola和Inter的区别