我们要感谢黑莲花实验室在流明感谢他们在分析中的贡献和帮助。
如果你更喜欢听DomainTools研究团队讨论他们的分析,它在我们最近一期的Breaking bad中有特别介绍,包括在这篇文章的底部.
简介
乐动体育下载链接网络威胁情报(CTI)从业者可以通过跟踪冲突或地缘政治紧张局势来洞察对手的行动。类似于“按照钱的方法,着眼于冲突地区可以揭示作为事件的一部分部署的网络能力——要么是冲突各方本身,要么是出于自身目的对监控事件感兴趣的第三方。
上述理论得到了与地缘政治紧张关系有关的历史事件的支持:
- 俄罗斯入侵乌克兰领土导致了2015而且2016年乌克兰电力事故,2017年NotPetya事件,持续经营到现在。
- 阿拉伯/波斯湾地区的紧张局势导致多个轮的刮水器恶意软件同时也为2017提供了可能的“掩护”海卫一/TRISIS事件。
- 朝鲜半岛持续的紧张局势为2018年对平昌奥运会的颠覆性攻击(即使在这种情况下攻击者是不是朝鲜).
根据先例,分析人员可以通过跟踪与重大事件和冲突地区有关的标识来确定对手行动和技术能力的发展。识别用于利用这些物品的部署能力,可以洞察攻击者的基本谍报技术和行为,并对日后可能袭击离家更近的事件进行防御和应对。
最初发现:高加索冲突
考虑到上述论点,DomainTools研究人员检查了出现在2020年冲突之间的亚美尼亚和阿塞拜疆在高加索地区.在调查过程中,研究人员在一个商业多扫描服务上发现了以下恶意文件:
名称:库尔德工人党武装在纳戈尔诺-卡拉巴赫。doc MD5: e00af9b6303460666ae1b4bdeb9503ba SHA1: ce810173555d6a98ce10c847f16e95575fe13405 SHA256: 7c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f
这份文件伪装成一篇报道高加索冲突细节的新闻文章,里面提到了一个外部网站,可以从受害者的电脑中获取更多的材料:
在这种情况下,文档试图与域" msofficeupdate[.]org "通信:
总的来说,该文件似乎专注于亚美尼亚-阿塞拜疆冲突,专用网络基础设施支持攻击顺序。虽然我们可以停下来单独查看这个项目,但进一步的分析会揭示出更多有趣的元素。
确定旋转的项目
文档和域都包含需要进一步分析和旋转的项目。回顾历史的教训以前DomainTools博客,我们可以检查与此战役相关的技术指标作为复合对象,有机会识别对手的基本行为。
检查文件,文件元数据,这里用的是菲尔·哈维的ExifTool,表示存在一个异常长的数字字符串作为模板对象:
基于模板对象和硬编码的统一资源定位器(URL),文档将尝试与上面标识的域通信。恶意文档的实际功能取决于与攻击者域的网络通信,对资源的HTTP请求如下所示:
hXXps: / / msofficeupdate org/morgue6visible5bunny6culvert7ambo5nun1illuminate4。
以下所有功能似乎都依赖于对该请求的响应。此时,DomainTools没有任何数据或其他信息,关于可能从该响应返回什么。因此,我们的分析仅限于文档本身和已识别的网络基础结构。然而,防御者可能会在HTTP请求的URL模式中发现价值——被单个数字分割的单词——用于开发网络入侵检测系统(NIDS)签名。
除了缺乏对后续执行的视图外,我们还有一个搜索字符串,可以用于指纹附加文件样本或处理模板字符串中可能与原始活动相关的项目。值得注意的是,对于恶意文档,该项不包含任何活动内容(ActiveX对象或Visual Basic for Applications [VBA]宏),这限制了我们识别其他项的能力。但是,模板项看起来足够独特,可以用作标识其他类似构造的样本的能指。
在基础设施方面,我们还有几条线索要跟进。作为之前的记录在过去的博客中基础设施搜索和分析,我们有一个与域名创建和托管相关的技术指标组合,以及与域名本身相关的主题标识符。对于有问题的域,如上面的DomainTools虹膜调查检查图像所示,以下观察结果成立:
- 泄露的注册电子邮件,“g.j.d dodson[AT]protonmail[.]com”。
- 域名注册服务:“PDR Ltd. d/b/a PublicDomainRegistry.com”。
- 与域关联的权威名称服务器“bitdomain[.]biz”。
- 托管在专用服务器上," 46.30.188[。,通过总部位于荷兰的供应商“Web2objects Gmbh”。
- 通过Sectigo获得的具有有限识别信息的SSL/TLS证书。
- 一个模仿Microsoft Office更新服务的域“主题”。
虽然上述任何单独的项目在识别对手倾向或附加基础设施方面可能相对有限(要么过于笼统,要么过于具体),但它们可以生成供进一步分析的模式。例如,寻找以隐私为中心的电子邮件地址的组合通过PublicDomainRegistry使用名称服务器“bitdomain[。Sectigo SSL/TLS证书在欧洲托管,可以生成用于进一步分析的结果集。对这样的调查结果应用“主题”搜索,例如在域名中寻找其他微软或Office主题,可以识别与此活动相关的其他分析项目。
解开更多的基础设施
根据上一节中描述的特征,DomainTools研究人员确定了35个与最初观察到的恶意域的模式相匹配的域估计概率的水平或信心。如下表所示,我们可以观察到其他的趋势,如在注册时倾向于一些面向隐私的电子邮件服务,以及压倒性地关注欧洲虚拟私有服务器(VPS)提供商的托管目的。
| 域 | 创建日期 | 注册人邮件 | IP地址 | 托管提供商 | 举办地点 | 信心 |
|---|---|---|---|---|---|---|
| iphoneupdatecheck。com | 2016-05-12 | louie@brookes.openmailbox.org | 91.236.116.166 | jaroslav88@tuta.io | SE | 媒介 |
| brexitimpact。com | 2016-06-23 | jaroslav88@tuta.io | 185.112.82.7 | Oy Creanova托管解决方案有限公乐动体育网址司 | FI | 低 |
| srv3-serveup-ads。净 | 2019-04-16 | salemjoshi@protonmail.com | 101.100.209.236 | Vodien互联网解决方案私人有乐动体育网址限公司 | SG | 低 |
| newoffice-template。com | 2019-06-12 | j.konnoban.cz | 147.135.170.193 | OVH托管公司。 | FR | 高 |
| ms-check-new-update。com | 2019-07-08 | stivgarret@protonmail.com | 87.121.98.51 | Tamatiya EOOD | BG | 媒介 |
| template-new。com | 2019-08-28 | N/A | 66.70.218.38 | OVH托管公司。 | FR | 高 |
| user-twitter。com | 2019-11-13 | hostmaster@user-twitter.com | N/A | N/A | N/A | 媒介 |
| 在媒体。org | 2019-11-27 | sam.walker@tutanota.com | 137.74.181.109 | OVH SAS | FR | 媒介 |
| officeupgrade。org | 2019-11-29 | alex.sval@tutanota.com | 198.24.134.13 | 安全服务器有限责任公司 | 我们 | 高 |
| template-office。org | 2020-01-10 | s.taylor87@seznam.cz | 185.243.114.175 | Access2。这组帐面价值 | 德 | 媒介 |
| 上网看新闻。com | 2020-01-15 | laptev.vl.90@mail.ru | N/A | N/A | N/A | 低 |
| liveinfo。org | 2020-01-15 | laptev.vl.90@mail.ru | 91.195.240.87 | ”Sedo GmbH是一家 | 德 | 媒介 |
| newoffice-update。com | 2020-02-11 | adam.crowld@protonmail.com | 51.161.96.100 | OVH托管公司。 | CA | 媒介 |
| update-office。com | 2020-03-03 | paul_wilsonn@protonmail.com | 192.52.166.12 | CrownCloud美国有限责任公司 | 我们 | 高 |
| upgrade-office。com | 2020-03-18 | p.borovin@protonmail.com | 158.69.30.205 | OVH托管公司。 | CA | 高 |
| tls-login。com | 2020-03-25 | boxerkeen@protonmail.com | 103.255.250.70 | EN科技私人有限公司 | SG | 高 |
| upgrade-office。org | 2020-04-07 | pavel.savin1992@bk.ru | 66.248.206.239 | Hostkey帐面价值 | 问 | 高 |
| newupdate。org | 2020-06-04 | and.frolov@bk.ru | 46.183.221.141 | DataClub S.A. | LV | 媒介 |
| 2020 - windows。com | 2020-06-19 | gmail.chrome.2020@mail.ru | 176.107.181.128 | PE Freehost | UA | 低 |
| petronas-me。com | 2020-07-05 | cgog.global@gmail.com | N/A | N/A | N/A | 低 |
| msupdatecheck。com | 2020-07-10 | mike.barrett@tutanota.com | 167.114.44.150 | OVH托管公司。 | CA | 高 |
| log1inbox。com | 2020-08-15 | vazquezftcathyo5123@gmail.com | N/A | N/A | N/A | 媒介 |
| gmocloudhosting。com | 2020-08-17 | hostmaster@gmocloudhosting.com | N/A | N/A | N/A | 低 |
| msofficeupdate。org | 2020-08-20 | g.j.dodson@protonmail.com | 46.30.188.236 | Web2Objects GmbH是一家 | GB | 高 |
| interior-gov。com | 2020-08-31 | gmail.chrome.2020@mail.ru | N/A | N/A | N/A | 低 |
| e-government-pk。com | 2020-09-04 | gmail.chrome.2020@mail.ru | N/A | N/A | N/A | 低 |
| e-govoffice。com | 2020-09-07 | hostmaster@e-govoffice.com | N/A | N/A | N/A | 低 |
| azureblog。信息 | 2020-09-25 | yshevloin@protonmail.com | N/A | N/A | N/A | 低 |
| rneil。俄罗斯 | 2020-10-01 | hostmaster@rneil.ru | N/A | N/A | N/A | 低 |
| N/A | N/A | N/A | 低 | |||
| 天气服务器。净 | 2020-10-09 | lulgaborova90@protonmail.com | N/A | N/A | N/A | 媒介 |
| doc-fid。com | 2020-10-21 | hostmaster@doc-fid.com | N/A | N/A | N/A | 低 |
| rarnbler。com | 2020-11-09 | nesmali20@cock.li | 80.78.22.11 | 赛博达因 | SE | 媒介 |
| msofficeupdate。com | 2020-11-10 | emil.moreu@protonmail.com | 185.25.51.24 | Informacines Sistemos IR technologies jos UAB | LT | 高 |
| netserviceupdater。com | 2020-11-11 | hostmaster@netserviceupdater.com | N/A | N/A | N/A | 媒介 |
| 新办公室。org | 2020-11-13 | moris.pelletier@yahoo.com | 51.89.50.150 | OVH托管公司。 | FR | 媒介 |
虽然大多数项目是在2020年创建的,但一些潜在的相关网络观测数据可以追溯到2016年。当与下一节中检查的恶意文档样本进行匹配时,我们开始看到一个持续的、有些漫长的攻击的轮廓。尽管时间延长了,但在整个这一时期的观察项目中反映了相同的基本网络行为。
从视觉上观察,比如下面的DomainTools Iris Investigate可视化,我们可以看到在名称服务器、注册商和顶级域(顶级域名)之间划分的活动集群。有了更大的人口,我们就可以开始提取这个对手更多方面的操作方法,并有可能为未来的基础设施建设设计预测算法。
定位额外的样品
除了识别额外的网络基础设施外,结合检查原始文档和旋转观察到的网络基础设施会产生额外的恶意文档样本。首先,唯一的Template数字字符串结合与域和文档主题的关系,可以发现其他项。如下表所示,这些项通过唯一的Template字符串链接,并通过与上面提供的网络可观察性分析相关的基础设施链接。
| SHA256 | 文件Namestrong | 第一次见过 | 提交者的国家 | 域联系 |
|---|---|---|---|---|
| 1 f117d5f398e599887ec92a3f8982751ceb83f2adb85d87a2c232906104e8772 | c . Bayramov.doc | 2020年7月25日 | 阿兹 | upgrade-office.org |
| 4 ad0e64e8ebed1d15fac85cd7439bb345824f03d8b3c6866e669c24a42901daa | 导致346人死亡的丑闻,医生 | 2020年5月29日 | 阿兹 | upgrade-office.com |
| 68年bde4ec00c62ffa51cef3664c5678f1f4985eb6054f77a5190b4d62bd910538 | xyz.doc | 2020年9月13日 | TR | msofficeupdate.org |
| 7 ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70 | ФадеевМ1.文档 | 2019年12月18日 | UA | officeupgrade.org |
| 7 c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f | 纳戈尔诺-卡拉巴赫的库尔德工人党武装分子 | 2020年10月12日 | 阿兹 | msofficeupdate.org |
| 89503 c73eadc918bb6f05c023d5bf777fb2a0de1e0448f13ab1003e6d3b71fef | ( | 2019年12月11日 | 阿兹 | officeupgrade.org |
| c630aa8ebd1d989af197a80b4208a9fd981cf40fa89e429010ada56baa8cf09d | Планируемыерасходы2020 (1). doc | 2019年12月28日 | UA | officeupgrade.org |
| e5a4957d0078d0bb679cf3300e15b09795167fdcfa70bbeab6de1387cd3f75bf | 《战略防御与安全评估》(2021年SDSR).doc | 2020年10月31日 | 如果 | msofficeupdate.org |
| 7 a1effd3cfeecdba57904417c6eeaa7a74d60a761138885b338e8dc17f2c3fbc | СправочникАП_26.10.2020_.doc | 2020年10月29日 | UA | msofficeupdate.org |
| 0 b116f5b93046c3ce3588bb2453ddbb907d990c2053827600375d8fd84d05d8b | НовыепоправкикГоспрограммепереселениявРФ(вст。всилу01.07.2020). doc | 2020年9月16日 | UA | N/A |
| 79年c0097e9def5cc0f013ba64c0fd195dae57b04fe3146908a4eb5e4e6792ba24 | N/A | 2020年9月16日 | GB | newoffice-template.com |
| d8f13e6945b6a335382d14a00e35bfefadbdfb625562e1120e5ed0b545f63e11 | N/A | 2020年11月09 | N/A | template-new.com |
| 348年b25023c45ed7b777fa6f6f635cb587b8ffbf100bfa6761d35610bba525a11 | Минтрудгосслужба. doc | 2020年11月04 | UA | msofficeupdate.org |
| 93279005 aa4c8eddf01020b31bc2b401fe1366cbcc9bb2032ffaeb2984afcd79 | Минтруд госслужба 1.doc | 2020年11月03 | UA | msofficeupdate.org |
下节将详细说明,这些项目的主题主要与高加索冲突或乌克兰持续冲突有关。此外,它们从2019年12月延续到2020年11月,表明这种活动持续了近一年,没有显著变化。
除了这些项目,DomainTools研究人员还识别了第二组文档,都来自法国,具有“测试”主题,但符合上述项目的各种特征,如独特的Template字符串:
| SHA256 | 文件Namestrong | 第一次见过 | 提交者的国家 | 域联系 |
|---|---|---|---|---|
| 29 b49fc728510b8d10a84edbd884cd23a0c453c1158551dbd2d266539d5d09b5 | testmw4.doc | 2020年9月18日 | FR | N/A |
| da43472f3bced232ae8f905e819339fb75da0224a31fb1c394110c77b3318b09 | testmw8.doc | 2020年9月18日 | FR | upgrade-office.com |
| 6478821432 b8458053d953b6cff7d1b49f4349f5da366278778c87bc8789b65c | testmw7.doc | 2020年9月18日 | FR | upgrade-office.com |
| 4285年a05a993359b8418b590d3309a361f2c42ef7bc29216c0209e57b74513adb | testmw6.doc | 2020年9月18日 | FR | N/A |
| 40 b21a2cd054e01cf37eb22d041ef2ea652eaaeae0ba249439fa7ec07a4e9765 | testmw5.doc | 2020年9月18日 | FR | aaaaaaa-aaaaaa.com |
| 282年c805363469440eef082ac0f2a52dbdd47a8cdaecc08df4c1b4c073c5a8256 | testmw3.doc | 2020年9月18日 | FR | test.com |
| df2a85d84daf10b4dcf8d8fdd83493f3c04f2ac7b3edaf4730df0522cc52009f | testmw2.doc | 2020年9月18日 | FR | N/A |
上述项目从其他文件中脱颖而出有以下几个原因:
- 所有这些都是在同一天提交给同一个多扫描服务。
- 给定文件命名模式(testmw2、testmw3等),这些项似乎是迭代的。
- 对文件的分析表明它们之间的模糊或功能的更改,这与文件名的迭代性质一致。
一个初步的结论是,这些都是针对恶意文档格式或模板的“测试”运行,这些文档格式或模板将在以后的活动中出现。然而,这一结论的时机已经过时,因为“测试”项目出现在9月中旬,而使用相同模板(功能和诱惑文档)的项目首次出现在2019年12月。
总的来说,这批物品仍然是一个谜,因为没有明显的迹象表明它与其他活动有关。此外,一些有问题的项目是非功能性的,或者缺乏与第一组文档中可能持续的活动相关的活动的其他组成部分。DomainTools目前不拥有任何附加信息来处理这些项目,因此相对于其他恶意文件而言,它们仍然有些神秘,这些恶意文件显然是为间谍目的而设计的。
动机和归因
被确认的文件来自多个地方,但绝大多数集中在阿塞拜疆和乌克兰。
更有趣的是文本和标题中与文档相关的主题。除了引发这次调查的文件及其围绕高加索地区最近冲突的主题外,已确定的主题包括:
- C. Bayramov.doc:引用阿塞拜疆外交部长Ceyhun Bayramov。
- Фадеев M1.doc:这是一个为报道乌克兰顿涅茨克地区(一个冲突地区)事件的纪录片制片人的募捐广告。
- ОпоставкезенитныхракетныхсистемС-400.医生:装扮成报告的s - 400防空系统,由俄罗斯和卖给多个国家。
- Планируемые расходы 2020(1).doc:“计划开支2020”,一份似乎显示乌克兰地方政府实体人员开支的文件。
- 《战略防御与安全审查》(2021 SDSR).doc:为斯洛文尼亚国防部准备的战略防御规划文件。值得注意的是,这份文件似乎与一封发送给斯洛文尼亚驻俄罗斯联邦大使馆武官的钓鱼邮件有关。
- Справочник АП_26.10.2020_.doc:一份来自俄罗斯支持但未被承认的分离组织的规划文件顿涅茨克人民共和国.
- НовыепоправкикГоспрограммепереселениявРФ(вст。в。
- Минтруд госслужба.doc:一份来自俄罗斯支持但未被承认的分裂分子的文件Luhansk人民共和国.
总体而言,这些文件似乎与政治、军事和冲突地区的相关主题有关,比如高加索地区和俄罗斯支持的乌克兰东部分离地区。另外一些项目,如DomainTools研究人员能够链接到钓鱼邮件的斯洛文尼亚防御文件,强烈暗示了国家支持的间谍利益或类似的动机。
2020年10月,几个研究人员注意到这份报告中提到的一些文件并将其与在公开报道为“云阿特拉斯”或“《盗梦空间》“虽然目前获得的数据与以前的《云图》活动不完全一致,但观察到以下共同点:
- 目标集中在俄罗斯周边地区。
- 通过恶意文档为初始活动使用模板对象。
- 可能依赖网络通信来检索第二阶段工具以进行后续活动。
对文档发送的HTTP请求的响应可能是将上述活动与云图参与者对齐的关键,但由于缺乏这一证据,DomainTools目前既不能确认也不能否认与该组的关联。
不管具体的归因是什么,与已知的高级持续威胁(APT)参与者(云图)的可能联系,加上活动主题具有高度政治性,没有明显的货币化机制,使得被发现的活动很可能是国家支持或国家指导的间谍活动。虽然在这种情况下,目标可能意味着与俄罗斯有关的利益,但值得注意的是,早期的《云图》活动也有俄罗斯联邦的目标实体.考虑到针对俄罗斯的目标,以及对乌克兰分裂地区的关注,另一种可能的假设是,这些活动代表着乌克兰支持的网络间谍活动。虽然很有趣,但目前仍然没有足够的证据支持这一假设。
虽然上述活动确实令人担忧,但目前所获得的信息并不支持对任何国家利益进行微弱的归因,只有与《云图》实体的合理(但尚未得到证实)联系。虽然具体的归因可能不可能,但我们可以非常有把握地得出这样的结论:该活动代表着由一些未知的国家行为体指导的网络间谍活动。
结论
追踪与地缘政治事件相关的主题,对于发现可能与国家支持的利益相关的积极活动,可能非常有成效。在上面的例子中,搜索与2020年底高加索地区亚美尼亚-阿塞拜疆冲突有关的项目,会发现一个恶意文件。进一步分析该文件和相关基础设施,然后发现了额外的项目,概述了整个活动可以追溯到2019年。
虽然这次攻击的受害者似乎地域有限,主要集中在乌克兰和阿塞拜疆,但从恶意文件和相关网络基础设施的分析中得出的经验教训可用于进一步防御类似类型的攻击。通过监测这些类型的特定事件事件,CTI分析人员可以洞察正在出现的APT活动,并在发现后不久部署防御对策。
要了解如何在DomainTools虹膜调查中识别和跟踪对手的操作,请访问我们的产品页面。