Avaddon Ransomware
Avaddon勒索软件是一种新的勒索软件威胁,于2020年6月初发起,通过电子邮件垃圾邮件传播。Avaddon被认为是一个恶意的JavaScript加载器文件,伪装成压缩ZIP文件附件中的JPG文件。执行时,JavaScript加载器将启动PowerShell和Bitsadmin命令,从C2服务器下载并执行Avaddon二进制文件。
如果你是一个防御者,你的环境中的资产已经被Avaddon破坏了,我们可以通过如何利用DomainTools api和Jupyter笔记本来交互式地调查和响应这一威胁。使用Jupyter笔记本电脑进行安全调查的最大好处之一是能够将您的工作代码转换为同行之间可重复、可共享和协作的工具。
在这个妥协后的场景中,从您的EDR解决方案检测到的Avaddon二进制文件中发出了一个DNS请求(Myphotoload[.]com)。在遏制后的场景中,您是否有信心拥有适当的情报来阻止与此特定勒索软件威胁相关的所有基础设施?
利用DomainTools调查API进行事件响应
让我们通过利用DomainTools调查API来为我们提供更多的威胁情报,以更好地响应事件。
我将使用Jupyter笔记本电脑和DomainTools api来收集更多的威胁情报,因为重要的是要记住,不是所有的安全调查都可以完全自动化,仍然需要手动交互来获得安全响应器所需的数据。
这里是我们的Python库的DomainTools API Github存储库的链接(https://github.com/DomainTools/python_api).
开始调查
让我们从声明我们从警报中发现的Avaddon域名开始。我们将用这里作为唯一的数据点来收集更多的威胁情报。
每个安全调查人员都有自己的调查工作流方法,但我通常根据需要从较小的数据集到较大的数据集进行操作。让我们用Avaddon域查询DomainTools Investigate API以获得一些快速分类信息。
风险评估
通过几行Python代码,并利用DomainTools Python库,我们可以获得关于Avaddon域的一些有价值的信息。我们可以看到它的风险评分为100,这表明它已经进入了我们确认的恶意拒绝列表。在这些列表中填充的域,我们可以很有把握地说,是主动的或历史上恶意的,可以用于您的安全控制块列表。拒绝列表中的这些类型的域名是根据它们参与垃圾邮件、恶意软件或与恶意基础设施的一般接近程度进行分类的。因此,当一个域名的风险评分为100时,我们就知道它是恶意的。
了解与Avaddon域相关的IP地址的国家代码是很重要的。某些国家代码通常代表更高的风险,具体取决于您的威胁模型。一些组织或企业可能会说,根据他们的威胁模型,俄罗斯(“。ru”)域名风险更大。在本例中,我们可以看到Avaddon域与托管在俄罗斯基础设施上的其他数据点(如IP地址)相关联。
识别其他恶意域名
最后,DomainTools API中最重要的功能之一是IP地址的Pivot Count: 11。这很快告诉我们,还有11个其他域名与这个恶意IP地址相关。最初的安全响应器可能只是将已知的恶意域名添加到阻止列表中,然后继续前进,但我们有能力利用DomainTools威胁情报数据集,获得11个与此威胁相关的域名,以便主动阻止。这使我们能够极大地降低未来这种特定威胁行为者和勒索软件的妥协风险。如果攻击者在其攻击生命周期中主动利用这些其他域,我们现在就可以立即包含这些域,而不是对攻击者将其操作转移到另一个域作出反应。
让我们查询Investigate API,使用我们之前关联的IP地址获得另外11个域。
这些都是可操作的域名,我们想要阻止,但也调查。您的网络中是否有任何计算机使用这些域名发出DNS请求?如果是这样,那么很可能是Avaddon威胁或威胁行为者做出了额外的妥协或潜在的横向移动。
GDPR政策使得WHOIS在域名上检索所有权数据变得更加困难,但作为防御者,我们还有很多其他选择来连接攻击者的基础设施。历史域注册人联系信息和SSL证书元数据(及其枢轴)等数据集对于在安全事件期间扩展您的调查范围非常有帮助。
继续向前,让我们在对Avaddon恶意基础设施的持续调查中添加一些简单的代码。
我们可以在调查API响应中看到一些即时可操作的数据。下面,我们的代码用风险评分填充了与Avaddon原始IP地址相关的域(帮助我们评估域的风险有多大)。我们还可以看到一个非常有趣的数据点:与Avaddon域“ouefuguefhuwuhs.ru”相关的SSL证书还连接到另外30个域。
重要的是要注意,枢轴计数并不总是可行的,事实上,当计数通常非常高时(如下面相关的Avaddon域),我们通常应该忽略枢轴点。
进一步遏制工作
作为安全调查人员,我们需要认识到的一件事是在兔子洞里挖得太远了。在本例中,我们只想查看与单个Avaddon SSL证书相关联的另外30个域以及它们的风险评分。这里的目标有两个方面:获得更多的基础设施数据,以查看我们的网络上是否有任何设备正在与它们通信,并通过扩大我们的屏蔽列表来进一步加强我们的遏制工作。
注册人的联系方式仍然非常有用。我们可以看到这些域名仍然相对较新,但我们可以利用注册人联系人名称,看到另外24个包含相同注册人联系人的域名。我们应该查看这些相关领域的风险评分,并决定是否需要采取行动。
对于我们这些进行调查的人来说,有一种可视化威胁的方法总是很有帮助的。我使用Python库“networkx”创建了这个Avaddon基础设施映射。
创建节点和节点边的映射非常简单。
总之,我们从我们网络上的Avaddon勒索软件感染中获取了一个已知的恶意域名,并以交互方式收集了可操作的威胁情报,用于我们的事件响应过程。我们使用Jupyter笔记本和DomainTools虹膜调查API,允许调查人员将其作为恶意软件基础设施调查的可重复交互式剧本。
要了解更多关于Avaddon勒索软件的信息,请阅读我的后续博客文章:
