《绝命毒师》将于本周播出。 今天我们讨论:阳光下的一切,私人文件疫苗更好的日子,以及我们有趣的新游戏,两个真理和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
阳光下的一切
- SUNBURST有很多有趣的方法逃避探测:
- 使用“老化”或“经验丰富”的域名,创建时间通常在活动开始前几年。
- 使用每个受害者,甚至可能是每个主机,C2域和著名的云托管提供商。
- 针对受害者的钴打击信标配置。
- SUNBURST SolarWinds后门和后续TEARDROP/RAINDROP有效载荷之间的显著分离,以加载CobaltStrike。
- SUNBURST C2基础设施似乎由重新注册的、对手长期拥有的或对手在此活动中使用前多年历史的泄露项目组成。
- 使用Namecheap, Epik和NameSilo注册器,dnsowl和registrar-servers名称服务器,以及云或colo托管提供商。
- 目前的主要结论只是强调这次入侵的长期和故意性质,它不迟于2019年9月开始,一直持续到2020年10月。
- 钴打击的细节特别有趣,攻击者从SUNBURST过渡到信标装载机的故意和隐秘的方式,以及用于挫败探测和分析的反分析和反取证技术。
- 主要的收获是我们从12月以来一直在DomainTools上强调的-基于指标的,对这种入侵的反应性防御态势将给对手带来太多的优势,并使清理变得更加困难(如果入侵甚至被检测到)。
- 组织需要利用所有可用的数据来源和资源,以识别可能表明隐形或供应链交付的攻击的可疑活动。
- 这些信息没有立即的影响,因为攻击活动现在已经被曝光,对手可能已经清理了基础设施和其他入侵工件。然而,我们需要注意在这个事件中使用的基本行为,因为我们可能会在未来看到类似的活动。
私人文件疫苗更好的日子
- EMA是欧洲药品管理局,是欧盟的药品监管机构。他们相当于美国的食品和药物管理局,他们批准或拒绝疫苗。他们是所有疫苗制造商提交批准文件的人,由于他们去年推迟批准疫苗,他们受到了一些审查。
- 事情是这样的。这些文件被故意篡改,然后被公布。这些操纵行为使得辉瑞和EMA在疫苗的声誉上看起来都具有误导性。袭击者的目的是破坏人们对疫苗接种的信任,在我看来,这是为了阻止欧洲人尽快信任和接种疫苗。
- 目前还不清楚他们究竟是如何发现的,只是说他们在攻击中窃取了电子邮件。如果我不得不打赌,这将是一些证书网络钓鱼,导致一个泄露通信的帐户。
- 他们有。在EMA的网站上,他们现在有五个左右的博客,随着他们在调查中发现更多的信息,他们会不断更新。典型的东西,你会期望阅读这些类型的漏洞。与执法部门合作,聘请了第三方公司进行调查
- 我认为这个人是出于社会原因想要破坏人们对疫苗的信任,并中断受公众信任支持的疫苗的快速推出。很难说谁是幕后黑手,所以我真的不应该尝试,但在修改内容时,很明显他们的目的是传播关于疫苗的虚假信息。
- 在过去的一年里,从最初的警报到体育赛事取消,再到个人防护装备的销售,再到假疫苗,再到现在的疫苗接种诱饵,以获取网络钓鱼证书和资金,我们看到了COVID-19过程的每个阶段都无休止的虚假信息泛滥。这与其说是一种趋势,不如说是一种新常态,或者至少是目前的常态。我唯一担心的是,对手一直以这种全球恐惧为目标来牟利,这让我非常恼火。
- 正如我们过去几个月在太阳风上所看到的那样,一个专门的攻击者总是能找到方法,无论他们通过多少个供应商。目标应该是限制爆炸半径,或者让成功代价太高,以至于大多数攻击者放弃。怎么做呢?对于不太复杂的攻击者来说,多因素身份验证是一个障碍。加密的电子邮件和文档(如果您通过电子邮件共享机密文件,就像在这种情况下)。如果它是机密的,你应该加密它,而不是像许多SMTP服务器那样通过可能未加密的网络连接发送,或者可以降级为偶数。最后,我建议为处理这些机密信息的网络实现出口过滤。在某种程度上,泄漏是这里的要求,过滤出口将为对手制造另一个路障,使其实现成本更高。
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
阳光下的一切(乍得):8/10的连帽衫
(乔):8/10的连帽衫
私人文件疫苗更好的日子(乍得):3/10的连帽衫
(乔):5/10的连帽衫
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!