狩猎案例研究:隐私保护攻击基础设施上的狩猎活动指标

作为一名研究人员，当我发现攻击者正在工作时，我首先开始关注的地方之一是命令和控制基础设施。我这样做是因为我想看看是否可以找到其他的二进制文件、攻击指示器或对手正在使用的其他基础设施。

当观察攻击者的基础设施时，最让分析人员烦恼的事情之一是攻击者使用Whois保护服务注册被用作攻击基础设施的域。乍一看，许多分析师在发现隐私保护域时会放弃调查。因此，在本博客中，我打算向您展示如何以隐私保护的攻击基础设施指标为中心，并最终找到良好的情报数据。

请记住，在这篇博客中，我不会把这个活动归咎于任何特定的国家。我们有指向特定行为者群体的指标，但民族国家归因是一项棘手且几乎不可能的工作，因此我们回避做出任何民族国家归因的主张。

基础设施的轴心

作为我日常工作的一部分，我会检查一些工具是否有触发雅苒规则我在跑步。有一个特定的域非常突出，因为它是根据寻找攻击者基础设施的特定规则触发的。

在这个例子中，我看定义域DomainTools虹膜调查：

primeminister-goverment-techcenter。科技

当攻击者使用Whois保护时，它会阻止分析师转移注册信息，使其更难找到额外的基础设施或文件。但是，有一种方法可以帮助抵消这种令人困惑的调查麻烦。

由于Whois记录上的隐私保护，我查找了域托管的IP。请记住，找到IP并不一定是执行的第一个枢纽。调查人员可以从几个潜在的线索入手。我首先从IP开始我的第一个支点，因为我经常在继续分析参与者工具和过程之前搜索攻击者的基础设施。此外，理想情况下，我们将看到该IP上的其他攻击者基础设施，而不管谁托管域。将托管基础设施的IP转移可能是有价值的，特别是当托管提供者和隐私保护服务是不同的实体时。

在DomainTools Iris Investigate工具集中，我迅速提取并转移了托管基础设施的IP地址- 86[.]105[.]18[.]5。

当在IP上的被动DNS内旋转时，发现了几个额外的域。在这些新确定的域中，有一个特别的域引起了我的兴趣。

ssl.pmo.gov [] il-dana-naauthurl1-welcome.cgi.primeminister-goverment-techcenter。科技

这时，我用谷歌搜索这个域名，发现可能有一个微软Word文件托管在新发现的URL上。

http://ssl.pmo.gov.il-dana-naauthurl1-welcome.cgi.primeminister-goverment-techcenter.tech/%D7%A1%D7%A7%D7%A8%20%D7%A9%D7%A0%D7%AA%D7%99.docx

将.docx文件转换为可读的格式，您将得到一个希伯来语文件名סקרני.docx，翻译过来的意思是“年度调查。docx”。

此时，我们开始寻找实际的DOCX文件。我想下载DOCX，不仅要查找可能发生的任何通信，还要查找文件中的字符串、删除的文件、可能的构建路径，甚至通信。此外，拥有实际的文件使我们能够透视和编写YARA规则，以匹配可能相关的任何其他文件。(可能是同一攻击者/团体或活动)

使用文件名和C2，在谷歌和一些其他工具的帮助下，我随后能够找到并下载DOCX。

Annual_Survey.docx

仔细查看恶意软件文件，我注意到它似乎来自信息部主任。该文件还提到了交通部，因此可能针对以色列政府的交通部。

查看Word文档，其中直接嵌入了一个OLE对象(oleObject1.bin)，使其看起来像实际嵌入了PDF。

OLE对象似乎是一个嵌入的PDF，似乎正在与C2通信。

static.dyn-usr [] f-login-me.c19.a23.akamaitechnology。com

该域的IP地址为212[.]199[.]61[。51，根据虹膜调查的pDNS数据，它也可以归因于212.199.61.51 static.012.net[.]il。需要注意的是，Top Level Domain (TLD) .il被分配给了以色列这个国家。

在原始PDF文件的字符串中，似乎有一个构建路径(C:\Users\Administrator\Desktop\Files\mfa\mfaformann)和两个文件名-fdp.exe而且PDFOPENER_CONSOLE.exe。

我们没有进一步研究这些文件，但可以很容易地对它们进行进一步分析，以获得更多的轴心点。

感染向量

在Eyal Sela的帮助下，仔细查看与此活动有关的域和文件，同时寻找感染媒介ClearSky，我们注意到域[,] http://ssl [] pmo.gov.il-dana-naauthurl1-welcome.cgi.primeminister-goverment-techcenter科技/ %事实上，最初的钓鱼页面放弃了Annual Survey.docx

这个鱼叉钓鱼页面似乎是有效的以色列总理办公室SSL VPN登录页面的近似克隆;除了一些变化，包括“插件安装已启动…”，“归还犹太人财产”和“请登录开始安装”。

结论

人们可以在这个数据集上执行其他的支点，并可能发现针对以色列利益的其他活动。为了写这篇博客，我们没有把每一个兔子洞都弄清楚，因为这是一个大型活动，可以进一步调查。

我们通常不会涉及归因。要确定攻击者的来源是非常困难的。然而，在这种情况下，一些妥协或攻击的指示器将此活动归因于一个名为CopyKitten*的知名攻击组。

在阅读完这篇博客后，人们可以看到轴心的力量，特别是在最初识别的攻击者基础设施上。当攻击者在将域注册为其基础结构的一部分时使用隐私保护时，这甚至是有用的。当我们继续监视攻击者群体时，重要的是不仅要注意支点的重要性，还要注意做出适当的支点。理想情况下，使用像DomainTools这样的工具可以消除一些手动过程，从而减少网络上的驻留时间。

_____________

* http://www.clearskysec.com/report-the-copykittens-are-targeting-israelis/

我要亲自感谢ClearSky网络安全公司的埃亚尔·塞拉在我们调查这名罪犯时协助提供情报。

本博客中引用的国际石油公司/IOAs

域

• primeminister-goverment-techcenter。科技
• http://ssl.pmo.gov.il-dana-naauthurl1-welcome.cgi.primeminister-goverment-techcenter[]技术
• static.dyn-usr.f-login-me.c19.a23.akamaitechnology。com
• 212.199.61.51.static.012.net []

“诱导多能性”

• 212。199。61 []51
• 86[105年][]18(。)5

文件

• Annual Survey.docx和/或סקרני.docx 5fe0e156a308b48fb2f9577ed3e3b09768976fdd99f6b2d2db5658b138676902
• PDFOPENER_CONSOLE.exe: 4 d657793ddc9c49abe7e4afcf9abb43626e91a18a925223555070c53fd672b59

oleObject1.bin

• 7651年f0d886e1c1054eb716352468ec6aedab06ed61e1eebd02bca4efbb974fb6