利用威胁情报数据平台拓展APT攻击线索一例

当我们说起APT攻击线索的发现,似乎是一个挺神秘的事,安全厂商往往说得云山雾罩,如果现在你问如何知道某件事情的时侯,得到的回答往往是:”嗯,我们用了机器学习”,行业外的人除了觉得高端以外基本得不到有用的信息。然而,发现高级的定向攻击是否一定需要高级的分析手段?答案是:未必。今天我们就举一个简单的例子,分析对象还是我们的老朋友:海莲花APT团伙。

线索

2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动的分析,描述了攻击过程的细节和一些工具及网络相关的IOC。

这些信息当然已经收录到360威胁情报中心数据平台里,搜索一下其中一个C&C域名: high.vphelp.net,我们得到如下的输出页面:

右下角的可视化分析已经把FireEye报告中涉及的所有IOC都做了关联展示。在左边的相关安全报告,也理所当然地提供了FireEye文章的原始链接,除此以外我们还发现了另外一个指向到著名沙箱Payload Security上的某个样本执行沙箱结果信息链接,相应的文件SHA256为e56905579c84941dcdb2b2088d68d28108b1350a4e407fb3d5c901f8e16f5ebc。点击过去看一下细节:

嗯,一个越南语文件名的样本,这很海莲花。看一下它的网络行为:

可以看到样本涉及一组4个的C&C域名:

push.relasign.org seri.volveri.net high.vphelp.net 24.datatimes.org

这也是海莲花相关样本的风格,一般会在同一天注册4-5个域名用于C&C通信。我们知道PayloadSecurity上存储了大量样本的沙箱行为日志数据,那么我们是不是可以在上面找找更多类似的样本呢?这个值得一试。怎么做呢?试试最简单的关键字匹配。

拓展

注意到上面那个已知样本连接C&C IP的进程名了吗?多年从事恶意代码分析的经验告诉我们,这个sigverif.exe进程在恶意代码的活动中并不常见。所以我们可以用sigverif.exe作为关键词尝试搜索,不必用PayloadSecurity网站自己的搜索选项,其实Google提供的全文搜索功能更为强大,用”site:”指定目标网站并指定关键字”sigverif.exe”,Google给我们的结果只有2页,下面是第1页的结果:

这里输出的命中列表中最后一项就是我们已知会连接high.vphelp.net C&C域名的海莲花样本。由于条目总命中数并不多,所以我们可以逐一检查每个命中样本与已知样本的相似度。查看列表中的第一个样本,文件SHA256为2bbffbc72a59efaf74028ef52f5b637aada59650d65735773cc9ff3a9edffca5,相应的恶意行为判定如下:

往前翻一下我们线索样本的行为判定(进程调用关系和字符串),可以确认两者几乎是完全相同的,这应该就是另一个相同功能的海莲花样本。接下来检查这个样本连接的C&C域名和IP:

在这里我们发现了另外4个从前未知的C&C域名:

news.sitecontents.org cdn.mediastatics.net image.lastapi.org time.synzone.org

域名注册于2016年8月10日,并做了隐私保护,海莲花团伙的惯用操作,在各种威胁情报平台上还查不到这些域名的标签信息。它们都曾解析到IP 81.95.7.12 ,域名与IP与已知的其他海莲花的攻击活动没有关联,在基础设施方面隔离比较彻底,这也是近期海莲花活动的趋势。根据360威胁情报中心对这几个域名的监控,国内没有发现连接的迹象,所以相关的样本极有可能被用于针对中国以外目标的攻击。如此,我们就从一个已知的域名出发,通过关联的样本,提取其静态特征搜索到同类样本,最终挖掘到以前我们所未知的样本和C&C基础设施。

启示

APT活动事件层面的分析本质上寻找关联点并利用关联点基于数据进行拓展的游戏,下面是360威胁情报中心整理的基于洛马Cyber Kill Chain模型关联点:

APT的攻防最终会落到人和数据的对抗,很多时候数据就在那儿,在了解对手TTP类的攻防细节并且对数据敏感度高的分析人员手里,通过层层剖析就能得到拓展视野获取更多的威胁情报。 360威胁情报中心基于自己的判定对大量的数据打了标签,部分标签是对外输出的,这些标签其实就是威胁情报,用户所要做的就是问对的问题。

IOC

海莲花团伙新挖掘到的威胁情报

域名

说明

news.sitecontents.org

C&C

cdn.mediastatics.net

C&C

image.lastapi.org

C&C

time.synzone.org

C&C

文件HASH

2bbffbc72a59efaf74028ef52f5b637aada59650d65735773cc9ff3a9edffca5

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家

臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国...

220100
来自专栏Kotlin入门系列

师万物博客的历程(总)

18340
来自专栏FreeBuf

ModSecurity技巧:使用ssdeep检测Webshell

最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-...

47580
来自专栏科研利器

如何下载文献全文&快速找到文献DOI号【史上最强总结】

之前,本公众号推送过一个免费秒下学术文献的神器 SciHub Desktop,只需要将文献的 DOI 号输入进去再点击按钮就可以立马获取 PDF 全文,这款软件...

12.9K140
来自专栏云服务器教程

腾讯云年末特惠

而且都是超低价了,就拿第一个4核16G的来说,官网原价是8040/年,5年就是4万多,一口价直接就便宜了3万元,简直美滋滋!

26970
来自专栏Data Analysis & Viz

图表太丑怎么破,ECharts神器带你飞!

在本专栏或文集中,我曾多次使用ECharts绘制图表、进行可视化,也渐渐积累了30多个实例,本文对此前用过的所有图表和代码进行整理并分享,以给想绘制精美图表的人...

54420
来自专栏数据小魔方

shiny动态仪表盘应用——中国世界自然文化遗产可视化案例

这一篇很早就想写了,一直拖到现在都没写完。 虽然最近的社交网络上娱乐新闻热点特别多,想用来做可视化分析的素材简直多到不可想象,但是我个人一向不追星,对明星热文和...

68170
来自专栏量子位

用深度神经网络修复H漫:看完这篇你就能眼中无码

AI“脑补”能力一流,现在甚至已经能画出艺术品。热爱H漫的死宅们灵光一闪,AI是否也可以把马赛克阻挡的内容也画出来呢?

28250
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–批次管理的库存物料采购(901)-4收货开票

4.6 MIGO_GR批次管理的收货 后勤 -物料管理 -库存管理 -货物移动 -收货 -对采购订单 -采购订单的收货 (MIGO) 因为采购订单,系统要求...

51570
来自专栏linux驱动个人学习

GPU与CPU的区别

19930

扫码关注云+社区

领取腾讯云代金券