一波精彩的社会工程学操作

该文章转载自NOSEC,内容主要来自美国方面的网站报道,由NOSEC翻译。

故事要从FireEye的报告开始:Poison Ivy – Assessing Damage and Extracting Intelligence

(https://www.fireeye.com/blog/threat-research/2013/08/pivy-assessing-damage-and-extracting-intel.html)。

该报告关注的是一些黑客组织使用的后门工具,但也强调了在一些APT攻击中使用。其中一个apt攻击被称为menupass组,是apt10的别称。

正文

报告指出很多与APT10中攻击者使用的域名有关联的email地址。其中一个email地址是zhengy**bin8@gmail.com,这表明了有一个中文名字——郑*斌。

通过郑*斌这个词很难在社交媒体中找到有效信息,但是反查这个email地址可以找到很多与它相关联的网站。

  • 100fanwen.com
  • anpvrn.com
  • architectisusa.com
  • cmdnetview.com
  • gostudyantivirus.com
  • gostudymbaa.com
  • have8000.com
  • jimintokoy.com
  • linuxforever.com
  • linuxsofta.com
  • myie12.com
  • qt4study.com
  • qtsofta.com
  • radiorig.com
  • redforlinux.com
  • tomorrowforgood.com
  • ubuntusofta.com
  • workerisgood.com
  • woyaofanwen.com

以上许多域名都与中国广东的一个地址有关。而且通过一些商业威胁情报也证实郑*斌和APT10之间有着较深的联系。之前也有文章中提到的CmdNe**iew.com域名也是apt10的关键字。

这个证据表明,郑*斌可能位于广东,尽管使用相同用户名的社交媒体账户似乎指向山东的一个人。目前尚不清楚山东的zhengy**bin8是否与APT10是同一个中国黑客。

简而言之,郑*斌的个人肯定与APT10有关,很可能参与购买或管理C2服务。

FireEye报告中提到了一个域名为js001.3322.org的C2服务器。这个服务器的连接密码是“Littlelittlefox”,翻译成中文就是“小小狐狸”。

在2010年,APT10活动期间,域名js001.3322.org的解析地址为222.35.137.193,是一个北京的IP地址。

这IP地址同时也会连接到APT10的其他IP。通过搜索解析记录发现weile3322b.3322.org在2010年1月23日至2012年2月15日之间解析为这个IP。而这个Weile3322b域名也被列为商业威胁情报报告中APT10涉及的域名之一。因此,可以说IP地址与APT10关系密切。

从2010年初开始,另一组恶意软件也同时连接到北京的222.35.**7.193地址。这些恶意软件最初是在来源为masao_tomik**as@yahoo.com的电子邮件钓鱼攻击中发现的,其中发送邮件的源IP为218.67.**8.26。在Contagio有一个完整的分析。

218.67.**8.26这个IP地址位于中国天津。因此无论谁参与了APT10,天津都是大本营。

在钓鱼邮件的SMTP头中还可以发现提交email的计算机主机名——fish*rxp-pc.domain。fisherxp是一个很独特的字符,我们认为它已经被APT10的人员使用了一段时间。

Twitter帐户@fish*rxp于2010年1月注册,已经发布11次信息了。大多数是黑客或信息安全相关的英文或中文文章。

值得注意的是,@fisherxp 在本博客揭露APT10参与者郑延斌的第二天就关注@intrusion_truth。

@fisherxp 同时也是一个有效的腾讯微博帐户,其中有帐户所有者的照片。

QQ帐号有很多以前的贴子。其中有一张照片是一辆帐号拥有着汽车。它被卷入一起事故,可以看到这辆汽车持有天津牌照。

同样照片也出现在“山东人在天津”网站Wayback Machine的“fish*rxp”账户上。

几年前,在job.51cto.com的一篇文章中,一个用户使用fish*rxp为天津华盈海泰科技发展有限公司发布了一则招聘广告。页面上的名字写着“高先生”和电话号码写着 +8615022**0833。

在获得截图之前,fish*rxp帐户已被网站找工作的页面所删除。但网站的其他页面还有这个帐户信息。

姓高和同样的电话号码也曾被用作天津Lao*** Baichaun仪器设备有限公司的联系方式。高先生同样也被列为联系人,地址是天津市河东区新开路**号冠福大厦1***。

冠福大厦的邮政编码是300011。而300011这个邮政编码将在以后被证明是一个重要的线索。

在天津找一个特定的姓高的人并不容易,但是通过网络威胁情报分析家密切关注APT10发现,证实了上面所提及的fisherxp照片以前被天津居民高*在网上使用过,包括他现在的Facebook页面。

总之,fish*rxp(高*可能使用的用户名)和APT10有关。他的工作总部在中国天津,并且已经在该市至少两家公司工作过。

高*和郑*斌并不是单独工作的。接下来是该组的另一个成员。

查看@fisherxp的Twitter账户,他关注了259人,有16个粉丝。有一个特别有趣的帐户

@baobeilong,每天都跟在@fish*rxp后面做同样的事情。

“baobeilong”还有一个GitHub帐户,其中的内容显示他对远程访问木马(RAT)有强烈兴趣,例如QuasarRAT和Trochilus,这两个软件在2015年被baobeilong上传。JPCert在2017年报告说Trochilus被APT10用作RedLeaves恶意软件的基础。APT10同时也使用了QuasarRAT。

“baobeilong”有一份Flickr文件,里面有家人的照片和发生在天津华龙路上的一场火灾。

从照片的拍摄角度,我们可以猜测这张照片可能是从天津市华龙路和新开路拐角处的冠福大厦的一层公寓楼拍摄的。而这个地址是天津Lao**** Baichaun仪器设备有限公司的地址,这就把他和高*联系在一起。

“bao*eilong”还有一个fan*ou.com 账户,在账户上有一个网站地址——xiao**ng[.]org。这是一个中文博客,还包含一个使用电子邮件地址ba**ei@xiao**ng.org的帖子,这帮助我们确认了“bao*ei[long]”和xiao**ng[.]org域名之间的连接。

在2007年, xiaoh***.org上的注册信息是天津市玉阳路***号,河东,张*龙。他填写了+8613116***711作为他的电话号码,电子邮件地址为atr**xp@yahoo.com.cn。

稍后在2008年8月7日他更新了注册信息,添入了传真号码+8659***63169,然后在2016年1月6号新添加了电话号码+861512***8031。同时电子邮件地址同时更改为robin4***@foxmail.com。

对张*龙的电子邮件地址atre**p@yahoo.com.cn进行反向WHOIS查询可知,与域名atre*x.cn相关。Wayback Machine显示该域名在2006到2007年间托管了一个与黑客和IT安全主题相关的中文博客。

而在2006年,atr*ex.cn博客上的一篇文章提供了一个到fish**x.com的链接。

这个域名与高*的“fish*rxp”有着惊人的相似性,它被注册到“天津”的一个邮政编码为300011的地址。邮政编码与天津Lao**** Baichaun仪器设备有限公司的邮政编码相同,而且还与高*公司有联系(见前文)。

域名xiaoh***[.]org也特别有趣,因为在2017年4月12日,域名注册信息使用了“域名保护服务”,使得域名有效地匿名。但就在这天的一星期前,一件大事发生,PwC和BAE系统发布了关于APT10的Cloud Hopper报告。

总之,中国天津的APT10黑客高*与另一位来自天津的中国黑客张*龙有多重联系。张*龙的网站有APT10工具的链接,并在2017年“Cloud Hopper”报告发布后立即掩饰自己的身份。

在我们关于高*的文章中,确定的第一家公司是Lao**** Baichaun仪器设备有限公司。通过它的姓名,电话号码和注册为fish*rx [.] com的邮政编码与fisherxp相关联,这张照片是张*龙在新开路附近一栋建筑里拍的。公司在天津设有办事处,似乎仍在运营,在网上销售。

第二家公司是天津华**泰科技发展有限公司。它通过以它的名义放置的招聘广告与fisherxp相关联。华**泰在几个中国公司注册数据库中都有信息。

该项目名称的两个股东 -方*,拥有该公司70%的股份;孙*,拥有30%。

另一个名叫冯*的人也与该公司有关,在一些数据库中被列为经理。

公司总部位于天津市河西区解放南路中段西侧富裕大厦1-1***。

\

在线公司信息显示该公司之前有一个网站 huayin**aitai [.] com

尽管没有任何内容的痕迹

上面显示的网站包含一个公司简介:

hua****haitai.com域名的WHOIS注册信息显示该域名已注册到zhangduk** @gmail.com,电话号码为+86 022 88**9292。与Zhang Du的同一电子邮件地址关联的其他域名包含:

  • 8haowaimai.cn
  • 8haowaimai.com.cn
  • appforge.cn
  • appforge.com.cn
  • bahaowaimai.cn
  • bahaowaimai.com.cn
  • bahaozhizunwaimai.cn
  • bahaozhizunwaimai.com.cn
  • daodewang.cn
  • dns-up.org
  • gujian.net.cn
  • huayinghaitai.com
  • iecho.cn
  • iecho.com.cn
  • linuxhome.com.cn
  • linuxhome.org.cn
  • lvxinghome.com
  • zhizunwaimai.cn
  • zhizunwaimai.com.cn

华**泰是一家拥有两名股东的小公司,对于一家网络安全公司来说,它的网络业务非常小。这种情况与Bo**sec(广州博**信息技术有限公司)有着惊人的相似之处。

在之前的帖子中,“入侵真相”显示2016年攻击管理服务提供商(MSP)的数千个全球客户的Cloud Hopper / APT10黑客位于中国天津。

我们认定郑*斌,高*和张*龙是三位负责人。我们将它们与天津华**泰科技发展有限公司和中国天津的Lao**** Baichaun仪器设备有限公司联系起来。但是我们还没有解释谁在策划或控制攻击。

在我们去年的调查过程中,我们聘请了数位网络威胁情报分析师,他们为我们的团队提供了原始数据和分析。在最近提供给我们的数据中有高*一直与ZF合作的证据。关键数据是Uber的路线。

前往珠江路**号的路

此图片由分析师提供,该分析师不喜欢公开姓名(但我们已经独立验证了他们的身份),显示了一个发给用户的Uber收据,称为“Qi***”并且带有电子邮件地址420**2@qq.com,我们相信是APT10负责人高*使用的帐户。

收据显示在解放南路3**号工作日结束时 - 紧邻华**泰富裕大厦地址 - 以及天津西青区居住区的目的地外环河。我们已将图像中的确切街道号码涂黑了。这张地图显示了路线开始的位置,在富裕大厦外面的。

由同一分析师提供的第二张Uber收据显示了同一用户的进一步踪迹,尽管他在这里使用了名称'Pig'(猪)。虽然读者会注意到使用了相同的QQ电子邮件地址,但这可能是为了掩盖踪迹。

在这种情况下,路线是在西青区的同一住宅区和天津珠江路8*号的一个大型建筑群之间。

这是用户往返于珠江路同一建筑群的多次行程之一。

珠江路8*号是天津的一个重要地址 - 它是天津市**局的总部,是MSS的区域部门。

2018年8月15日,该博客揭示了APT10与MSS天津之间的联系。但故事并未就此结束;与本博客合作的分析师继续调查提供给我们的每一条线索,其中一条线索帮助我们在中国确定了另一个与APT10有关的人。这条线索始于FireEye的PoisonIvy报告中首次公布的域名,它是MenuPass (APT10)的附属域名。

域名chrom**nter.com在FireEye报告中显示与MenuPass恶意软件关联的域名。

域名和子域名也出现在普**道Operation Cloud Hopper报告的附件A的早期版本中,并且在Alien Vault上被列为陷阱域名。

chrom**nter.com的域名注册信息显示它于2010年4月注册为Hogate**特科技有限公司。虽然在2012年4月更新域名时,大部分注册信息保持不变,但注册人公司更改为天津天**易业科技有限公司,注册电子邮件地址更新为gb*ike@gmail.com。该域名在2013年6月底被GoDaddy重新收回并在FireEye报告中命名之前受到WHOIS保护。

2012年使用的注册电子邮件地址导致其他许多域名,其中许多域名连接到中国天津,即APT10的所在地。由gb*ike@gmail.com注册的域名包括:

jiaxiaotuangou [.] COM

shgongxingbc [.] COM

tjguge [.] COM

tjqiming [.] COM

tjttjx [.] COM

web1680 [.] COM

w1680 [.] COM

域名jiaxiaot***ngou.com注册了一个名为安*强的人,并在注册数据中与天津天***易业科技发展有限公司有关。该公司的汉字在hhl**y.com上被识别出来, 与天津天***易业科技发展有限公司略有不同。

智联招聘提供了与公司相关的其他数据,包括tjw****dian.COM公司网站的链接。

天津**易业在猎聘的法人显示为安*强的汉字名字。

有一个名字(安*强),一个账号(gb*ike),一个地点(天津)和一个公司(天津天**易业科技发展有限公司),可以发现一些新的个人资料来源,包括Twitter帐户@gb*ike。该账户名为安*强,账号为@gb*ike,其位置设为天津。该帐户还在其个人资料图片中引用营销 - 这与智联招聘公司的描述相符。

天津某个人的最终链接来自域名web1**0.com,该域名在上面被gb*ike@gmail.com注册。该网站的“联系我们”页面包含电话号码1510***2183。

同一个电话号码列在另一个网站上tjm**a.com 列出了安*强作为网络营销的讲师,并专长微信营销方面。

tjm**a.com屏幕截图右侧的项目符号与上面@ gb*ike的Twitter封面图片中使用的项目相匹配。

这张照片似乎是来自中国天津的知名网络营销专家的照片。

总之,An Z**qiang(安*强)和天津天**益业科技发展有限公司在FireEye 2013年Poison Ivy报告之前通过用于APT10 / MenuPass活动的域名与APT10活动相关联。

说到APT攻击......我就想起了安恒明御APT攻击(网络战)预警平台(简称DAS-APT)........该平台是由安恒信息自主研发的针对网络流量进行深度分析的一款软硬件一体化产品。平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报,能实时发现网络攻击行为,特别是新型网络攻击行为,帮助用户发现网络中发生的各种已知威胁和未知威胁,检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件!

安恒信息明御APT攻击(网络战)预警平台能够应对“勒索病毒”的哪些传播途径?

水坑攻击

利用目标网站的防护弱点,植入恶意代码,当用户访问目标网站时执行恶意代码,此种传播方式也称为网站挂马,一旦中招,将造成严重损失。

邮件恶意附件

勒索病毒利用用户防范意识薄弱的情况,将恶意程序伪装成看似正常的文件,通过邮件附件方式发送给用户,诱骗用户下载执行。

系统漏洞利用

此种方式的传播通常具有横向扩散的特点,病毒、蠕虫通过利用0DAY、NDAY漏洞感染无防护的站点、主机等。

锁定目标入侵

弱点探测、渗透入侵、获取权限、命令控制、数据盗取的五大攻击阶段都经过精心策划,传统的防护设备对黑客势在必行的攻击有招架之心,无还手之力,必须加强应对APT高级威胁的安全防护手段。

软件下载、文件共享式攻击

勒索病毒以插件等形式被植入软件安装程序里,通过文件共享等形式传播,具有极强的隐蔽性,一旦执行,可能造成严重的数据、财产的损失。

通过移动介质传播

通过U盘、移动硬盘等移动介质携带的感染源不可忽视,对系统间勒索病毒的传播应引起足够重视。

安恒信息明御APT攻击(网络战)预警平台如何检测“勒索病毒”?

协议文件分离检测

结合先进的沙箱检测技术,通过AV检测、静态分析、动态分析等维度对协议文件进行分离,发现文件恶意行为。

漏洞利用行为检测

对0DAY/NDAY漏洞利用行为检测,结合动态沙箱分析技术,发现网站漏洞、文件漏洞、系统漏洞等可能被勒索软件利用以及传播的行为。

DNS异常流量检测

采用DGA域名检测算法,及时发现受控端和远控端之间的异常通讯,精确定位被勒索病毒感染主机。

社工攻击检测

对社工类攻击准确预测,比如通过邮箱域名信誉分析、收件人账号检测发现基于邮件钓鱼的勒索行为攻击;结合文件检测技术对邮件恶意附件隐藏的恶意代码深度分析,及时检出勒索病毒的传播行为。

云端高级威胁分析

通过云端提供的深层次威胁分析服务、安全预警服务和情报共享服务,对勒索病毒行为准确预判,防患未然。

APT(Advanced Persistent Threat)——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起,他们组织严密、目标明确、手段高超、危害巨大,每一次APT攻击事件的损失是巨大的,影响是深远的。”

原文发布于微信公众号 - 安恒网络空间安全讲武堂(cyberslab)

原文发表时间:2019-01-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券