微步威胁情报云探秘与实战案例学习
介绍
了解不是很多,但感觉微步是国内威胁情报做的不错的公司,给下面两个链接吧
SWEED团伙揭秘
简介
- 尼日利亚的黑产团队,通过BEC攻击(Business-Email-Compromise),也就是所谓的CEO诈骗,通过攻陷目标企业的邮箱,来进行财务欺骗。
- 使用商业木马AgentTesla来监控受害机器并窃取数据,最终达到窃取资金的目的
攻击手法
- 信息收集并准备攻击(准备仿冒域名、制作AgentTesla木马、准备洗钱账号)
- 鱼叉钓鱼邮件攻击利用office的CVE-2017-11882加载AgentTesla木马
- 控制机器并不断回传数据(截屏、主机账号、截切数据)
- 在数据中查货交易邮件等敏感信息
- 仿冒交易身份来发送虚假邮件更换收罚款账号实施诈骗
微步应对手段
- 构建PB级威胁云情报,涵盖常见的威胁情报数据(包括SWEED的相关网络资产)
- 生成该威胁情报的关联关系,通过模型来找到更多SWEED的资产
微步在线威胁云情报
体系构建及相应规模
- PDNS:8年的PDNS数据,记录任意一次域名和IP的变化数据
- 历史whois:17年的whois记录,记录域名每一次注册信息变更数据
- 域名:每日新增诸多的域名,累积数百亿域名
- 沙箱样本:每日新增百万级样本,累积数十亿样本
- SSL证书、开放端口、DNS、NetFlow数据:全球42忆IP信誉分钟级更新
观点
- 黑客资产往往存在复用、聚集等特点
- 从人或团队的视角来看待攻击
- 通过网络层面的关联关系也可以感知威胁,不仅仅依赖于终端
- 通过对黑客所有资产的掌握和发现,分析最新的攻击动向
价值
- 发现未知团伙:已知情报聚类、图的异常节点发现
- 预测新攻击:监控相关团队资产变动、提前发现攻击
- 溯源攻击事件:通过对已知恶意域名关联关系进行溯源
- 资产风险值计算:包括但不限于域名、IP和文件的Hash
威胁情报云实战场景及案例
未知团伙发现
- 对掌握的CC进行团的聚类分析,发现相关指数很高
- 样本节点特别比较集中,为DDOS家族
- CC节点明显,为已知的僵尸网络主控,一定比例域名带有feifan
团伙追踪溯源
- 检测全年的挖矿事件
- 发现挖矿事件TOP2在威胁情报云相关指数很高
- 挖矿传播手法相似、传播漏洞相似、均为挖掘门罗币
基于API的应急响应
- 提取相关机器24h内的DNS请求日志,提取有效域名1000+
- 将提取的域名调用威胁情报云接口进行识别,发现风险程度为100的www.acsewle.com
- 分析确定该域名为此次应急事件的恶意主控域名
- 进一步分析确定该事件为暗云三代木马攻击
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/07/%E5%BE%AE%E6%AD%A5%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E4%BA%91%E6%8E%A2%E7%A7%98%E4%B8%8E%E5%AE%9E%E6%88%98%E6%A1%88%E4%BE%8B/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/07/%E5%BE%AE%E6%AD%A5%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E4%BA%91%E6%8E%A2%E7%A7%98%E4%B8%8E%E5%AE%9E%E6%88%98%E6%A1%88%E4%BE%8B/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
