简介
对手的网络行动需要与受害网络进行通信,以便对目标产生影响。当在公共网络上执行时,有能力的对手很少(如果有的话)从他们的“家”位置直接通信,而是使用各种代理基础设施:用IP地址表示的服务器,或通过域名识别的服务器。虽然有许多对手使用伪随机或无意义字符串作为域名的实例,或完全避免这些项目,而只是直接与IP地址通信,但有意选择对手名称的实例可以说明问题。
将域名视为复合对象——由多个组件组成,如域注册器或域解析的位置——允许我们通过趋势和模式跟踪对手的活动和基础设施创建。与权威名称服务器或注册信息等项目一样,为域选择的名称具有重要意义,可以识别对手的基本行为。
对手通常在域创建中利用主题,这些主题可以指示攻击者操作的各个方面。这可能包括:
- 在目标环境中混入可能的“正常”交通。
- 镜像针对操作(例如登录门户)的服务或功能。
- 匹配目标特征以促进相互作用或在识别时降低怀疑。
通过研究对手的命名选择,我们可以开始识别攻击者操作的各个方面——从最初的访问操作如何发生,到基于观察的可能的受害者。在以下三个示例中,我们将探讨相对较新的活动,以确定如何使用对手命名选择和模式来更好地理解攻击者的目标和操作。
沙虫和2018年奥运会
回顾美国司法部(DOJ)近期的工作起诉书针对俄罗斯军事情报(GRU) 74455部队的六名成员,该部队通常被称为“沙虫,展示了与2018年平昌冬奥会袭击有关的几项基础设施项目:
- Msrole。com
- Jeojang(。)
这些物品分别被用来欺骗微软服务和农林部。正如起诉书和其他技术分析所支持的那样,这些项目被用作支持网络钓鱼活动和证书盗窃的基础设施的主题。
更有趣的是,使用DomainTools Iris进行的进一步分析表明,这是一个包含更多主题的更广泛的活动。例如,查看msrole[的pDNS信息。. com列出了在奥运会筹备期间使用的一系列IP地址:
最重要的(上面强调的)是27.102.102.30地址。在韩国(韩国或韩国)主办,此地址主办msrole[。在。之前的行动期间奥运驱逐舰2018年2月平昌冬奥会开幕式上发生的事件。分析这个IP地址及其在奥林匹克驱逐舰事件之前的历史可以发现更多的细节:
除了映射msrole[。com随着时间的推移,通过DomainTools Iris的被动DNS监控发现了美国司法部起诉书中没有提到的其他项目,也没有作为奥运驱逐舰事件的一部分披露:
- Culturecommunication(。)
- Starcraft2。cf
- Swisstiming。cf
虽然“文化交流”有点模糊,但其他项目似乎适合目标活动和国家的主题:瑞士时机是奥运会(包括2018年冬季奥运会)到2032年的官方计时员;而《星际争霸》(无论是原版还是续作)仍然是最受欢迎的游戏之一最受欢迎的游戏(以及电竞赛事)。
不考虑其他可观察的数据(其中一些数据在相关事件发生两年后已经无法获得),格鲁乌操作人员在创建基础设施时使用的名称透露了其有意程度。正如美国司法部起诉书中已经说过的(没有详细说明),这些行动包括与奥运会官方计时组织有关的操作——挖掘出特定的域名证实了这一观察。但《星际争霸》的恶搞表明,潜在的更广泛的目标是韩国人,利用游戏的受欢迎程度来创建一种机制(其确切功能目前还不确定),以进一步打击韩国主办的游戏。
虽然我们发现了更多的妥协指标(ioc),但更重要的是,通过对基础设施的分析,我们发现了一种以技术(微软欺骗)、文化(星际争霸项目)和事件(2018年奥运会)为中心的域创建模式。
沙虫国际石油公司
Msrole。comJeonjang[.]ga Culturecommunication[.]ga Templates-library[.]ml Starcraft2[.]cf appmicrosoft[.]net Swisstiming[.]cf 27.102.102[.]30 141.8.224[.]221 200.122.181[.]63 107.167.92[.]196 195.20.51[.]47
活力熊与机场
2020年10月,美国联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布了一份联合报告针对美国地方政府和相关关键基础设施实体的恶意行为。与一家实体有关据美国政府消息人士评估,该实体是俄罗斯政府资助的,并被称为精力充沛的熊,蜻蜓,蹲伏雪人,或者褐石在美国,这些行动的重点是欺骗合法网站,作为一种收集凭据的机制,以便进行后续入侵。
第一次出现在2020年春天,旧金山国际机场的折中方案在美国,这一具体行动似乎已经显著扩大,包括美国境内的一些其他地点和地区,通常集中在机场。
“精力熊”行动的有趣之处在于,它从通过战略网站妥协窃取证书的转变——可以在SFO网站的代码片段中看到ESET的推特-转向更直接的凭据网络钓鱼。所列的中国钢铁工业协会提醒aa20 - 269 a,攻击者将操作从间接的凭据捕获转移到通过网站欺骗更直接的形式。
这种行为反映在活动中观察到的领域:
- email.microsoftonline[]的服务
- columbusairports.microsoftonline。主机
此外,CISA注意到,使用与Microsoft Azure云服务相关的域名模式的基础设施模式如下:
(城市名).westus2.cloudapp.azure。com
通过DomainTools Iris查看pDNS数据显示,在武器化期间,这些项目都链接回类似的基础设施:
主要的领域主题——欺骗微软——反映了对手行为的转变。当搭配如相关的CISA警报中记录的那样,利用链接总的来说,包括领域主题在内的观察到的行为集合显示了Energetic Bear战术、技术和过程的显著总体变化。在出现这种情况时识别它们,可以使防御者适当调整安全措施并分析潜在事件。
积极承担国际石油公司
Microsoftonline(。主机Microsoftonline[。]服务213.74.101[。65 138.201.186[。] 43 213.74.139[。196 5.45.119[。124 212.252.30[。170 193.37.212[。] 43 5.196.167[。184 146.0.77[。] 60 37.139.7[。] 16 51.159.28[。101 149.56.20[。] 55 108.177.235[。97年]92 91.227.68 []
Kimsuky基础设施和主题
2020年10月27日,中钢协发布大量的报告涵盖与。相关的活动Kimsuky演员.Kimsuky与朝鲜民主主义人民共和国(DPRK,或朝鲜)有关联,负责针对韩国关键基础设施实体、朝鲜半岛核谈判实体以及韩国、日本和美国的各种目标的多次活动。
除了对Kimsuky入侵技术和行为的报道外,CISA报告还以域和子域的形式包含了近百个网络指标。回顾使用的命名约定,可以发现三个主要主题:
第一,欺骗流行服务,特别是在韩国,用于基础设施建设。例如,Kimsuky针对韩国门户网站和搜索引擎Naver在多种情况下,例如:
Help-navers(。naver.com [,] se Helpnaver [] com。com naver.hol[。] es naver.co[。]在naver.koreagov[。naver.com[,]厘米naver.onegov [] com。naver.com [,] de naver.unibok [] com。] naver.com [,] ec naver [kr。naver.com [,] mx naver[]残雪。] pw naver.com [] pl naverdns(。)有限公司
韩国门户网站也出现了类似的活动韩国门户网站:
daum.net [,] pl login.daum.kcrct[。]毫升Daurn.pe[。]胡login.daum.net-accounts[]信息daurn(。) org login.daum.unikortv。com
如上所述的服务欺骗可以用来模拟页面,以便利用或获取凭据,也可以作为隐藏命令和控制(C2)通信的一种手段。然而,这些特殊情况的地理特殊性表明,几乎可以肯定的是,相关领域在应用于韩语受众时受到了限制。因此,虽然在了解朝鲜的活动时,这些项目很有趣,但从非朝鲜实体的防御行动角度来看,它们可能不太重要。
第二,正如在上面的一些域中观察到的那样,Kimsuky的特点是持久服务欺骗模式,特别是围绕web邮件或云存储登录页面。这是通过跨多个域的子域创建模式来表示的,在使用过程中,所有子域都驻留在相同的基础设施上。正如DomainTools Iris pDNS结果所示,出现了一个熟悉的模式,邮件主题的子域链接到通用的、it主题的主域:
回顾与kimsuky相关的操作中活动的项目,可以发现一个持久的模式。首先,一个“通用的”技术域被用作根项(例如,“com-ssl[。work”或“com-vps[.]work”),后面跟着一个共同的webmail序列或相关子域名:
- 邮件
- Mail2
- 开车
- Onedrive
- 登录
这些项目背后的主题基础(“例如,”OneDrive .sslport[.]work”)意味着有意作为一种机制,为凭证收集提供欺骗登录页面(在这个特定的示例中,为Microsoft OneDrive服务)。
第三,通过观察上面检查的子域,我们还可以从命名模式和约定中看到Kimsuky活动的潜在具体目标。例如,下列项目似乎表示目标机构:
- Intranet.ohchr.account-protect[]的工作
- Smt.docomo.ne.jp-ssl[]的工作
- Rfanews.sslport[]的工作
- mail.rfa.sslport[]的工作
的合法域名命名模式联合国人权事务高级专员办事处(ohchr.org),日本电信公司乐动体育官网下载NTT Docomo(nttdocomo.co.jp),(rfa.org)。与参考主题(如朝鲜统一)的域一起,这些条目允许我们扩展我们对Kimsuky活动的看法,包括消费者通信、人权事业和传统间谍目标之外的类似实体的“软”目标。
通过分析Kimsuky基础设施活动,防御者不仅可以了解攻击者的方法,还可以了解潜在的目标——从目标服务和目标组织的角度。有了这些相对最少的信息,防御者可以更好地理解Kimsuky的动机,并适当地为防御和监视目的引导资源。
Kimsuky国际石油公司
account.daum.unikftc(。] kr hogy.desk-top[]工作account.daurn.pe(。]胡上网。]工作amberalexander.ghtdev[。com intranet.ohchr.account-protect[。]工作beyondparallel.sslport[。]工作jonga[。]毫升Bigfile.pe[。胡jp-ssl[。]工作bignaver[。com kooo[。]《gq》Cdaum.pe[。胡loadmanager07[。com cloudmail[。]云login.daum.kcrct[。]毫升cloudnaver[。com login.daum.net-accounts[]信息coinone.co(。]在login.daum.unikortv[。com com-download[。]work login.outlook.kcrct[.]ml com-option[.]work mail.unifsc[[.]com com-ssl[.]work mailsnaver[.]com com-sslnet[.]work member-authorize[.]com com-vps[.]work myaccount.nkaac[.]net comment.poulsen[.]work myaccounts.gmail.kr-infos[.]com cooper[.]center myetherwallet.co[.]in csnaver[.]com myetherwallet.com[.]mx daum.net[.]pl naver.co[.]in Daurn.pe[.]hu naver.com[.]cm daurn[.]org naver.com[.]de dept-dr.lab.hol[.]es naver.com[.]ec desk-top[.]work naver.com[.]mx downloadman06[.]com naver.com[.]pl dubai-1[.]com naver.com[.]se eastsea.or[.]kr naver.hol[.]es gloole[.]net naver.koreagov[.]com help-navers[.]com naver.onegov[.]com help.unikoreas[.]kr naver.unibok[.]kr helpnaver[.]com naver[.]cx naver[.]pw securetymail[.]com naverdns[.]co servicenidnaver[.]com net.tm[.]ro smtper[.]cz nid.naver.com[.]se smtper[.]org nid.naver.corper[.]be sslport[.]work nid.naver.unibok[.]kr sslserver[.]work nidlogin.naver.corper[.]be ssltop[.]work nidnaver[.]email sts.desk-top[.]work nidnaver[.]net taplist[.]work ns.onekorea[.]me tiosuaking[.]com org-vip[.]work top.naver.onekda[.]com preview.manage.org-view[.]work usernaver[.]com pro-navor[.]com view-hanmail[.]net read-hanmail[.]net view-naver[.]com read-naver[.]com vilene.desk-top[.]work read.tongilmoney[.]com vpstop[.]work resetprofile[.]com webmain[.]work resultview[.]com webuserinfo[.]com riaver[.]site ww-naver[.]com sankei.sslport[.]work 108.62.141[.]33 203.249.64[.]219 146.112.61[.]107 211.38.228[.]101 150.95.219[.]213 27.102.107[.]221 162.244.253[.]107 27.102.127[.]46 173.234.155[.]126 27.255.77[.]110 192.185.94[.]206 44.227.65[.]245 192.203.145[.]170
结论
检查上面的三个独立的战役,作为防御者,我们能够推断对手的意图和目的,仅仅基于对域名命名模式的分析。当与进一步的研究结合时,如DomainTools Iris中的额外支点到SSL/TLS证书、托管基础设施和注册模式,防御者可以利用这些知识来获得对攻击者操作的更多了解。
然而,即使没有显著的额外信息,最小的旋转也能挖掘出重要的项目:
- “沙虫”活动的目标是韩国社会和2018年奥运会的多个领域。
- “精力熊”将操作从通过战略网站妥协的被动证书收集转移到通过欺骗域名的更主动的证书钓鱼。
- Kimsuky行动的目标是传统间谍目标之外的著名商业和非政府组织,通过可能的凭证捕获资源。
有了这些信息,防御者可以对对手的发展做出微妙的、知情的决定。有了这些了解,防御者可以适当地调整安全控制和可见性,以匹配观察到的行为。虽然存在更强大的研究和分析机制,允许我们更深入地挖掘,但对命名模式及其含义的简单识别在进一步的安全操作中是非常强大的。