Ulusal Güvenlik Teşkilatı (NSA) ve Five Eyes ortak kuruluşları, Çin Halk Cumhuriyeti (PRC) devlet destekli bir siber aktör olan Volt Typhoon ile ilişkili tehlike belirtileri belirlediler. altyapı.
Volt Typhoon karada yaşamayı seviyor
Ortak siber güvenlik danışmanlığı, avlanma kılavuzuna ve ilgili en iyi uygulamalara genel bir bakış sağlar. Aktörün komutları ve algılama imzalarının örneklerini içerir.
Yazar kurumlar ayrıca, benzersiz komut satırı dizeleri, karmalar, dosya yolları, CVE-2021-40539 ve CVE-2021-27860 güvenlik açıklarının kötüye kullanımı ve yaygın olarak kullanılan dosya adları gibi uzlaşma göstergelerinin (IOC) değerlerinin bir özetini içerir. bu aktör
Karada yaşamanın birincil taktiklerinden, tekniklerinden ve prosedürlerinden (TTP) biri olarak, ÇHC aktörü halihazırda kurulu veya bir hedefin sistemine yerleştirilmiş araçları kullanır. Bu, aktörün normal Windows sistemleri ve ağ etkinlikleriyle uyum sağlayarak, uç nokta algılama ve yanıt (EDR) ürünlerinden kaçınarak ve varsayılan günlük yapılandırmalarında yakalanan etkinlik miktarını sınırlayarak algılamadan kurtulmasına olanak tanır.
Tespit ve tehdit avı
NSA, ağ savunucularının, tercihen bölümlere ayrılmış bir ağ üzerinde sağlamlaştırılmış merkezi bir günlük sunucusu kullanarak günlük bütünlüğünü sağlamanın yanı sıra, komut satırı yürütme ve WMI olaylarının günlüğe kaydedilmesi ve izlenmesi gibi siber güvenlik danışmanlığındaki algılama ve avlanma kılavuzunu uygulamalarını önerir.
Savunucuların, denetim günlüğü temizlendiğinde oluşturulan Olay Kimliği 1102 için günlükleri de izlemesi gerekir.
CSA’da belirtilen davranışsal göstergeler, zararsız etkinlikte görünen meşru sistem yönetimi komutları da olabilir. Savunmacılar, sistem ve temel davranış hakkındaki bilgilerini uygulayarak önemi belirlemek için maçları değerlendirmelidir.
Microsoft ve Secureworks araştırmacıları, tespit ettikleri Volt Typhoon (Bronz Siluet) kampanyalarıyla ilgili ayrıntıları da yayınladı. Uzlaşma ve hafifletme ve koruma rehberliğine ilişkin ortak göstergelere sahiptirler.