欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解读美国国会关于OPM数据泄露事件的调查报告

来源:本站整理 作者:佚名 时间:2016-09-17 TAG: 我要投稿
OPM督察办对PIPS系统的漏洞发现和安全警告非常具有先见之明,但当这些警告快要生效时,OPM又迎来了新的领导。
4 第一次网络攻击的发现
应急响应:
2014年3月20日,US-CERT通知OPM其网络存在数据泄露可疑活动。US-CERT通过第三方机构获悉被窃取数据通过一个已知的C&C域名进行传输通信。经查证分析:
联邦背景调查服务FIS的账户被入侵;
攻击者远程C&C服务器正与OPM的一台服务器进行通信;
C&C服务器与OPM系统的通信连接为加密信息;
C&C服务器连接OPM网络时间通常为晚上22点至早上10点之间;
攻击者利用攻陷的系统用户在OPM网络中搜寻背景调查处理系统(RIPS)的相关文件;
在对可疑网络流量的首次监测分析中发现,C&C与OPM服务器之间的通信使用了4字节的异或码加密;
OPM自身的安全工具无法检测识别到C&C的加密通信,OPM承包商配合NetWitness工具和解密脚本对网络进行可疑流量监测,最终识别出了被感染的主机系统和攻击者操作执行的命令;
Big Bang计划:
自2014年3月25日起,OPM联合US-CERT、FBI、NSA组成跨部门联合调查组,对该攻击者进行网络监控响应,监控目的一方面为了解攻击者的”战术-技术-程序(TTPS)“指标,另外为确认入侵者身份和入侵目的。
5月27日,在RIPS系统即将成为攻击者下一个入侵目标时,OPM打算以“Big Bang”计划对黑客进行清除”驱赶“。
OPM和US-CERT采取的措施包括:下线清理所有被入侵的系统、重置可能遭到攻击的150个账户信息、强制所有管理员账户使用PIV个人身份认证卡进行登录验证、重置所有管理员账户、为入侵系统重建账户、重置内部路由信息等。
以下为2014年6月US-CERT监控到的OPM背景调查处理系统RIPS相关的部分泄露文档目录:

 
US-CERT在当年6月的响应报告中声称:攻击者使用SMB命令刺探内网中RIPS管理员相关的共享文件。在对被入侵系统的调查中发现,文件复印电子件、压缩文件、文档都成为了攻击者的目标清单,被发往C&C服务器。
最终,虽然OPM承认了2014年3月的信息泄露事件,但US-CERT声称在这之前可能还存在其它文件资料泄露的可能。
5 攻击者的线索和恶意软件信息
经取证分析发现了攻击者在2014年入侵前后使用的恶意软件Hikit和C&C域名信息:

 
而Hikit后门软件是APT攻击组织Axiom经常使用的黑客工具之一,这类型恶意软件通常是Poision Ivy、Gh0st、ZXsheell的变种。
另外,OPM根据特定的域名分析工具发现,攻击者主要使用三个注册域名进行C&C活动:opmsecurity.org、wdc-news-post.com、opm-learning.org,这三个域名的注册人名称分别为:Steve Rogers、Tony Stark、Tony Stark。而这也是另一个APT组织Deep Panda常用的注册习惯,以下为ThreatConnect对几个注册域名的分析:

 
Tony Stark (钢铁侠)
Steve Rogers(美国队长)
Natasha Romanoff(黑寡妇)
James Rhodes(战争机器)
John nelson(钢铁侠视觉特效导演)
Dubai Tycoon(钢铁侠中的另一个人物)
另外,在OPM的入侵事件中,攻击者还使用以下域名架构进行C&C通信:

 

 
调查显示,2014年,攻击者使用Hikit后门程序对OPM网络发起攻击,最终利用了PlugX恶意软件窃取了RIPS中的背景调查资料。而Hikit和PlugX是APT组织Axiom和DeepPanda常用的黑客工具:

 
6 参与OPM攻击事件应急响应的两家安全公司
CyFIR:
CyFIR是一家小规模的安全服务公司,专门为美国政府提供安全事件应急响应服务,公司以:全球范围的快速响应能力、综合集中调查、动态可视化分析、全方位取证和非法图像识别为服务宗旨。在2014年RSA大会期间,CyFIR为了凸显国家间的安全对抗状况,在其展台上放置了一幅备受争议的海报,随后引起轩然大波。

 
Cylance:
Cylance 是一家成立于2012年的网络安全企业。Cylance安全平台采用了一套基于算法的安全协议来检查网络薄弱环节,同时Cylance 还有一套黑客学习系统,利用机器学习技术实现对网络威胁的事先预测和防护。目前,全球已有1000 多家客户使用 Cylance 系统。2016年6月,Cylance获得了 1 亿美元的 D 轮融资。此前,Cylance曾陆续收购了Ridgeway、Skout Forensics、Spearpoint等信息安全公司,这些公司的产品涵盖蜜罐技术、网络取证和工业控制系统网络安全评估等技术。其旗下的主打服务产品为CylanceProtect。

 
7 结语
也许,OPM事件的最终处理结果非常让美国人民不满意,这份国会调查报告的最终目的,还是希望政府能加强网络信息安全能力建设,最大程度地保护个人信息安全和国家安全不受威胁。

 
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载