XiaoMi-AI文件搜索系统
World File Search SystemTTPS
Black Basta 威胁概况 - PDF - HHS.gov
执行摘要 Black Basta 最初于 2022 年初被发现,以双重勒索攻击而闻名,这个讲俄语的组织不仅执行勒索软件,还窃取敏感数据,运营网络犯罪市场,如果受害者未能支付赎金,就会公开发布这些数据。该威胁组织在运营的前两周内针对至少 20 名受害者进行了多次攻击,这表明它在勒索软件方面经验丰富,并且拥有稳定的初始访问来源。其熟练的勒索软件运营商的复杂程度,以及不愿在暗网论坛上招募或做广告,支持了为什么许多人怀疑新生的 Black Basta 甚至可能是讲俄语的 RaaS 威胁组织 Conti 的品牌重塑,或者也与其他讲俄语的网络威胁组织有联系。HC3 分析师之前关于 Conti 和 BlackMatter 的说明甚至强化了与 Black Basta 共享的类似策略、技术和程序 (TTP)。然而,随着勒索软件攻击不断增加,本威胁概况重点介绍了新兴组织及其经验丰富的网络犯罪分子,并提供了降低受害风险的最佳实践。
配电系统的网络安全基线...
资产清单 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 组织网络安全领导力 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 OT 网络安全领导力• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 改善 IT 和 OT 网络安全关系•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 缓解已知漏洞 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 第三方验证网络安全控制有效性 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 5 供应链事件报告 5 供应链漏洞披露 5 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 5 供应商/供货商网络安全要求 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 5 更改默认密码 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 5 密码管理• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 6 唯一凭证• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 6 撤销离职员工的凭证•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 6 分离用户和特权帐户• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 6 网络分段•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 7 次失败(自动)登录尝试 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 7 防网络钓鱼多因素身份验证 (MFA) •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 7 基础网络安全培训 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 7 OT 网络安全培训 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 保护敏感数据•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 电子邮件安全•• • • • • • • • • • •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 默认禁用宏 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 记录设备配置•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 记录和维护网络拓扑•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 8 硬件和软件审批流程•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 9 系统备份•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 9 事件响应 (IR) 计划• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 9 日志收集•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 9 安全日志存储•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 9 禁止连接未经授权的设备•• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 10 互联网上禁止可利用的服务•• • • • • • • • •10 将 OT 连接限制到公共互联网 10 检测相关威胁和 TTP •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 11 漏洞披露/报告 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 11 部署 Security.TXT 文件 •• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •事件规划和准备•• • ...TXT 文件•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• •••••••••••••••••••••••••••••••••••••••••••••• 11TXT 文件•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• •••••••••••••••••••••••••••••••••••••••••••••• 11TXT 文件•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• •••••••••••••••••••••••••••••••••••••••••••••• 11TXT 文件•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••• •••••••••••••••••••••••••••••••••••••••••••••• 11
Impacket 和 Exfiltrate 工具用于窃取国防工业基地组织的敏感信息
• 重置所有登录帐户。重置所有用于身份验证的帐户,因为威胁行为者可能拥有其他被盗凭据。密码重置还应包括 Microsoft Active Directory 之外的帐户,例如网络基础设施设备和其他未加入域的设备(例如 IoT 设备)。 • 监控 SIEM 日志并建立检测。根据威胁行为者的 TTP 创建签名,并使用这些签名监控安全日志,以查找任何威胁行为者重新进入的迹象。 • 对所有用户帐户强制执行 MFA。尽可能在所有帐户上强制执行防网络钓鱼的 MFA,无一例外。 • 遵循 Microsoft 的 Active Directory 安全指南 — 保护 Active Directory 的最佳实践。 • 审核帐户和权限。审核所有帐户,以确保所有未使用的帐户都被禁用或删除,并且活动帐户没有过多的权限。监控 SIEM 日志以查看帐户的任何更改,例如权限更改或启用以前禁用的帐户,因为这可能表明威胁行为者正在使用这些帐户。 • 通过查看联合网络安全信息表——《保持 PowerShell:使用和接受的安全措施》中的指导来强化和监控 PowerShell。
TSFPEWG G 3-600-01.01-18空军消防工程标准以及电子,信息技术和电信设备的任务连续性的技术指南,并具有更改1
前言此三项服务消防工程工作组指南补充指南在其他统一设施标准,统一设施指南规格,国防物流机构规格和特定于服务的出版物中找到的指南。美国以外的所有建筑都受部队协议的地位(SOFA),东道国资助的建筑协议(HNFA)的管辖,在某些情况下,双边基础设施协议(BIA)。因此,收购团队必须确保符合TSPWG指南中最严格的,沙发,HNFA和BIA,如适用。本指南中的信息在整个建筑设计指南中的技术出版物中引用。并不是要采用特定服务的学说,技术订单(TOS),现场手册,技术手册,手册,手册,战术技术或程序(TTPS)或合同规格,但应与这些规格一起使用,以确保电子设备保护特征的电子设备保护功能。TSPWG指南是生活文件,将定期审查,更新并提供给用户,作为服务提供军事建设,维护,维修或操作的技术标准的一部分。总部,美国陆军工程兵团(HQUSACE),海军设施工程系统司令部(NAVFAC)和空军土木工程师中心(AFCEC)负责该文件的管理。本TSFPEWG指南的技术内容是AFCEC/COSM,消防工程团队的责任。国防机构应通过afcec.rbc@us.af.mil与准备活动进行准备活动以进行文件解释。向相应的服务TSFPEWG成员,AFCEC/COSM,139 Barnes Drive,Suite 1,Tyndall AFB,FL 32403-5319,AFCEC.RBC@us@us.af.af.mil发送建议的更改。TSPWG指南在发行时有效,并且仅在电子媒体中从以下来源分发:
TSPWGM 3-260-03.02-19,机场道面评估...
前言 本三军路面工作组手册补充了其他统一设施标准、统一设施指南规范、国防后勤局规范和特定服务出版物中的指导。美国境外的所有建设也受部队地位协议 (SOFA)、东道国资助建设协议 (HNFA) 以及在某些情况下双边基础设施协议 (BIA) 的管辖。因此,采购团队必须确保遵守 TSPWG 手册、SOFA、HNFA 和 BIA 中最严格的规定(如适用)。本手册提供有关执行 PCI 现场勘探和报告准备的指导。本 TSPWG 手册中的信息在《整体建筑设计指南》中的技术出版物中有所引用。它并非旨在取代特定服务理论、技术命令 (T.O.s)、现场手册、技术手册、手册、战术、技术和程序 (TTPs) 或合同规范,而是与这些一起使用,以帮助确保路面满足任务要求。TSPWG 手册是动态文件,将定期审查、更新并提供给用户,作为服务提供军事建设、维护、维修或操作技术标准的责任的一部分。总部、美国陆军工程兵团 (HQUSACE)、海军设施工程司令部 (NAVFAC) 和空军土木工程中心 (AFCEC) 负责管理本文件。本 TSPWG 手册的技术内容由三军路面工作组 (TSPWG) 负责。国防机构应联系准备活动以进行文件解释。将建议的变更及其支持理由发送给相应的服务 TSPWG 成员。TSPWG 手册自发布之日起生效,并且仅以以下来源的电子媒体形式分发: • 整体建筑设计指南网站:http://dod.wbdg.org/
高级持续性威胁配置文件 - EuRepoC
随着时间的推移,UNC1151 在 Ghostwriter 影响活动中的活动被归咎于俄罗斯和白俄罗斯军事情报部门及其政府,他们是国家赞助者。在 2021 年 9 月 6 日的新闻发布会上,德国联邦外交部将德国的 Ghostwriter 活动归咎于俄罗斯军事情报机构 GRU。此后不久,9 月 24 日,欧盟高级代表代表欧盟发表声明,尊重欧盟的民主进程,谴责以 Ghostwriter 的名义追踪的网络干扰企图。该声明介绍了几个欧盟成员国关于 Ghostwriter 目标的报告,这些报告将其与俄罗斯政府联系起来。在两个月后发布的一份报告中,美国威胁情报公司 Mandiant 高度自信地得出结论,UNC1151 与白俄罗斯政府有联系。2022 年的其他行业报告对俄罗斯军方人员涉嫌参与该活动的性质提出了质疑。到目前为止,这些评估仍很牵强,它们试图评估并部分证实 UNC1151 与 GRU 相关的其他 APT 在战术、技术和程序 (TTP) 方面的相似性。Recorded Future 在 2022 年 3 月的评估认为,GRU 参与者可能在白俄罗斯领土上行动,或指示白俄罗斯操作员作为代理人,可能是为了掩盖俄罗斯情报部门的直接参与。来源 [3] [4]
网络(CMF 17)职业发展规划第 1 章 职责
网络职业管理领域 (CMF) 提供网络空间和电磁战 (EW) 行动方面的专业知识,以支持全方位的军事行动。它支持行动并在所有领域产生基于结果的网络效果。网络 CMF 将网络空间电磁活动 (CEMA) 集成到作战评估和规划流程中,并开发、培训和维护 CEMA 标准操作程序 (SOP)、战术、技术和程序 (TTP) 以及战斗演习。CMF 确保在网络空间和电磁频谱内自由行动,同时阻止对手行动。它创建基于结果的网络效果来支持指挥官的要求,通过瞄准敌人和敌对对手的活动和能力,在网络空间内和通过网络空间投射力量。网络 CMF 执行动态现实世界操作,通过感知和理解信息维度、设计和集成精湛能力以及在技术和数据中心环境中获得优势,实现全球力量投射。它利用网络空间域和电磁频谱与敌人交战,以阻止、削弱、破坏、摧毁或操纵敌人的能力,同时确保友军的机动自由。网络士兵在所有层级执行进攻性和防御性网络空间作战和电磁战,通过在其他作战域中创造相对优势窗口来支持多域和大规模作战行动。网络空间作战 (CO) 是利用网络能力,主要目的是在网络空间域内或通过网络空间域实现目标。
Clop 涉嫌针对医疗保健行业部门警报 - PDF
Clop 涉嫌针对医疗行业进行数据泄露 执行摘要 据报道,与俄罗斯有关的勒索软件组织 Clop 利用安全文件传输软件 GoAnywhere MFT 中的零日漏洞对包括医疗行业在内的 130 多个组织发动了大规模攻击。网络安全和基础设施安全局 (CISA) 将 GoAnywhere 漏洞 (CVE-2023-0669) 添加到其已知被利用漏洞的公共目录中。此行业警报遵循之前 HC3 分析师关于 Clop 的报告(CLOP 对 HPH 组织和 CLOP 勒索软件构成持续风险),并提供有关其最近攻击的最新信息、潜在的新策略、技术和程序 (TTP),以及检测和防范勒索软件攻击的建议。报告 Clop 声称对 2 月初的攻击负责,当时它告知技术和计算机教程网站 Bleeping Computer,它涉嫌在 10 天内窃取了个人信息并保护了健康信息数据。它还声称,它能够通过部署勒索软件有效载荷来加密受影响的医疗保健系统。威胁行为者拒绝对其说法提供任何验证,Bleeping Computer 也无法独立证实这些说法。目前,虽然这些说法尚未得到证实,但 Clop 继续展现出在多个行动中使用引领潮流的 TTP 的历史。HC3 之前的 Clop 分析师报告指出,Clop 是针对 Window 编写的
1.22.25 CHS网络威胁听证
董事长格林(Green)董事长汤普森(Thompson),委员会成员,感谢您有机会今天作证。我的名字叫亚当·迈耶斯(Adam Meyers),我担任Crowdstrike反对派行动的高级副总裁。十多年来,我一直在监视和破坏网络威胁方面领导公司的练习区。在那个时期,尤其是最近几个月中,绝大多数关注都集中在中国人民共和国(PRC)上。1因此,我今天将重点关注来自该国的威胁,并在高层讨论其他威胁。作为美国领先的网络安全公司,CrowdStrike在网络空间中的恶意活动中具有有用且经常具有质感的有利位置。通过我们的网络安全技术,威胁情报和事件响应服务来保护组织,我们面临着各种网络威胁。我们捍卫了美国联邦政府的许多组成部分,并为主要技术公司的商业网络安全提供商,十大金融服务公司中的8家,成千上万的中小型企业以及各种关键的基础设施实体和许多外国公司。中国 - 尼克斯对手与其他国家的威胁行为者一样,都针对这些部门的每个部门。正如我在最近的证词中所指出的那样,我们在很大程度上开始了CrowdStrike,这是由于未经检查的网络威胁的日益增长的影响 - 经常与中国受到的影响 - 以及现有的安全工具无法应对这一挑战。当时,网络安全专注于防止最普遍的威胁,而不是最具影响力的威胁。在2011年,使用极其基本的策略,技术和程序(TTPS),看到中国运动跨越了数十个受害者的中国运动,持续了多年。此外,直接召集这项活动被认为是不礼貌的,甚至与一个人的经济利益背道而驰。我为我们的团队以及网络安全社区的工作感到自豪 - 在随后的几年中,我已经完成了这种看法。仍然,显然还有更多的工作要做。
培训和评估大纲报告 - 美国陆军
条件:调查单位被指示执行施工调查。单位施工标准操作程序 (SOP) 计划和各个路线、位置、有机设备和兼容软件的规范均可用。注意:指挥官仍必须确定他们希望该单位执行什么级别的训练。爬行、行走或奔跑。这只能在考虑单位训练水平后才能确定。指挥官在评估执行任务的单位之前必须确定任务是在现场、虚拟还是建设性环境中进行,此外还必须确定该单位将在下述哪种条件下执行任务。针对此任务做出的选择是在训练有素的熟练程度上。指挥官必须确定以下哪种环境最适合该单位以及该单位的熟练程度。在进行爬行或步行训练时,部队在达到标准之前不应增加强度,然后部队训练员应包括在所有条件下提高熟练程度的变量。注意:此任务的条件语句是假设任务熟练度矩阵中反映的最高训练条件,评估的部队需要获得“完全训练”(T)评级。注意:条件术语定义:动态作战环境:在执行评估任务期间,三个或更多作战变量和两个或更多任务变量发生变化。分配的反任务的作战变量和威胁战术、技术和程序 (TTP) 会随着蓝军 (BLUFOR) 任务的执行而发生变化。复杂的作战环境:四个或更多作战变量的变化会影响所选的友军 COA/任务。旅级及以上部队需要根据所训练的任务,在不同程度上复制政治、军事、经济、社会、基础设施、信息、物理环境和时间 (PMESII-PT) 的所有八个作战变量。单一威胁:存在常规、非常规、犯罪或恐怖势力。混合威胁:常规部队、非常规部队和/或犯罪分子的多样化和动态组合,所有这些都统一起来以实现互利