行业新闻与博客

澳大利亚网络安全中心（ACSC）已发布有关网络犯罪方法的建议，这些方法已被网络犯罪分子和国家资助的高级持续威胁（APT）团体广泛采用。

基于 ACSC 调查在 2019年和 2020年对澳大利亚的组织网络攻击的咨询轮廓的各种方式攻击者获得访问存在漏洞的系统，数据出入穿插，并执行恶意命令，其它邪恶的目标之一。

它还为公共和私营部门的信息安全专业人员提供了与 Mitre ATT＆CK 框架中与网络攻击策略，技术和程序（TTP）有关的检测，缓解和补救指南的链接。

利用点名

上周发布的 47 个 TTP 的详尽清单涵盖了 12 个类别，包括执行，持久性，逃避防御，凭证访问，发现，横向移动，收集，渗透和影响。

举一个例子，初始访问类别具有“ 过路入侵”攻击（T1189），其中用户下载了带有恶意有效负载的 Microsoft Access 数据库文件，该恶意负载一旦打开就可以持久访问受感染的系统。

该警告警告说，带有扩展名.accde 的数据库文件附加到合法文件扩展名（例如.pdf，.doc 和.docx）是受感染工作站的伪造品。

相关 安全软件发现是最新的 Mitre ATT＆CK 威胁列表

ACSC 还观察到利用 RottenPotato 漏洞利用来实现特权升级（T1068），以便在易受攻击的系统上获得系统级特权。

敦促网络所有者在其基于主机的监视监视列表中实施涵盖三个折衷指标的单个规则。

标准应用层协议（T1071）是列表中唯一的命令和控制 TTP，具有 Web Shell 任务和 Outlook.com 邮箱任务。

ACSC 建议网络所有者分析网络中是否存在与合法 Microsoft Outlook 和 Office365 域通信的异常进程，例如 PowerShell 和 Microsoft Access 进程。

一般缓解措施

ACSC 敦促组织实施 ASD 的基本八  至八项基准缓解策略，其跟踪记录为“大大（降低）此咨询中确定的对手 TTP 危害的风险”。

该通报还鼓励 Infosec 专业人士检查其环境，查看是否存在被利用的漏洞和提供的 TTP。

它补充说：“网络所有者从其系统上的该通报中发现 TTP 的证据时，应通过电子邮件 asd.assist@defence.gov.au 与 ACSC 联系，以报告其发现并寻求进一步的建议。”

本文由机器译制