使用香格里拉娱乐转换查看Maltego中最近的REvil(又名Sodinokibi)勒索软件指标集
根据最近的一项研究 赛门铁克企业安全报告,REvil勒索软件运营商利用Cobalt Strike和扫描易受攻击的销售点系统。攻击者正在利用AWS CloudFront for C2和Pastebin的混合来存储其有效载荷。在这里利用合法的服务使事件响应者难以做出反应,因为随着基础设施可以在云服务上通过一系列现代配置管理工具快速启动、拆除和修改,许多事情都可能迅速发生变化。然而,该报告包括三个可以调查的IP地址,以提供更多见解。随着勒索软件再次崛起,重要的是要进行适当的尽职调查,看看在这个单一实例背后还能发现什么。我将利用香格里拉娱乐数据集和Maltego直观地绘制我的研究图。
首先,报告中公布的域名和IP地址是:
| 102.129.224[.]148 |
| 23.81.143[.]21 |
| 5.101.0[.]202 |
| d2zblloliromfu.cloudfront[.]net |
虽然报告中没有直接提及,但确定这次攻击发生的时间有助于限制研究范围。由于云服务随时可能发生变化(事实上,自2020年1月以来,CloudFront地址已经有数百个分配),因此在研究周围设置障碍将有助于将信号与噪声分开。由于这份报告是在2020年6月下旬发布的,我将假设袭击发生在2020年4月之后。我选择这个日期的原因是作为一名安全专业人员,我有一些领域知识: 多份报告 这是在新冠肺炎最严重的时候出现的,表明REvil背后的团队正在利用新冠肺炎的诱惑,以巨大的效果攻击医疗基础设施。我可以有根据地猜测,既然这些诱饵的有效性正在枯竭,至少有一名员工已经改变了他们的目标。
在我开始之前,还有一点需要注意:REvil样本通常包含 数千个域名 用于C2,许多未注册和可疑的诱饵。该组织的先进之处在于,有一系列方法用于利用受害者,并在受害者的网络中横向移动,使用了十几种工具。他们针对他们攻击的每个组织调整技术,并随着每次独特的战役而发展。如果你想追踪REvil,而不仅仅是了解一个单一的活动事件,那么我建议你阅读KPN的 优秀的文章 在数百个单独的活动中跟踪该组织。如果你正在寻找一篇关于单个样本如何工作的文章,我不推荐 McAfee的分析已经足够.
与Iris和Maltego一起调查
首先,我将把报告中的这四个实体导入Maltego。粘贴函数在这里很好地确定了这些实体的类型。
从那里,我将运行一个反向查找,在香格里拉娱乐 Iris转换下标记为“IP地址到域”,以获得多个域开始香格里拉娱乐的搜索。
通过快速查看Iris转换带来的实体详细信息,我注意到CN TLD中的域名都是2016年及之前的。既然我在为香格里拉娱乐的调查做准备,那么我就只看doomvoid[.]com域名。通过Farsight被动DNS转换,我得到了一些在时间限制内的可疑域名。
该域正在运行自己的名称服务器,这一事实足以让人怀疑名称服务器现在用于C2信令的频率。vedit setfacl很有趣,因为它在setfacl中引用了一个用于设置文件访问控制列表的Linux命令,这似乎是一个奇怪的错误,或者可能是一个命令类型错误,最终被递归解析器的被动DNS传感器检测到。除此之外,阿贝尔的don和mil怪物子域似乎都是最可疑的。再次轮询Farsight以查找与这些子域链接的A记录,我得到了两个新的IP地址用于此调查。
在这两个新地址中,在香格里拉娱乐的时间范围内唯一返回任何额外上下文的地址是5[.]101[.]0[.]206地址,我可以再次使用香格里拉娱乐转换从该地址中提取域vila[.]网站。该网站于2020年5月通过reg.ru注册,香格里拉娱乐风险评分为93分(满分99分),极有可能感染恶意软件。该算法考虑了附近的域、该域所处的基础设施及其历史,以确定其潜在的恶意可能性。93被认为是香格里拉娱乐机器学习分类器的一个非常高的可能性。这可能部分是由于彼得斯堡互联网网络上存在的相关IP地址,这是一家位于圣彼得堡的俄罗斯ISP,过去曾观察到恶意流量。知道REvil集团被怀疑是俄罗斯的,这个网络很可能有恶意流量,以及香格里拉娱乐的时间范围,我可以在那个时间范围内搜索[.]vila[.]网站的所有Farsight被动DNS查询集,总共会得到四个IP地址。
| 5.8.54[.]52 |
| 5.101.0[.]206 |
| 5.8.55[.]43 |
| 5.101.6[.]227 |
从这里开始,除了这些IP地址与香格里拉娱乐的原始指标位于同一网络上之外,不幸的是,我无法将这些与其他指标或过去的报告联系起来。从这一点来看,我可以看到所有IP都可能在同一时间段内链接,但剩下要做的就是监控恶意行为。
由于每个REvil关联和攻击都得到了很好的控制,并且一些实例托管在不断变化的云基础设施上,因此,熟练地以某种视觉形式尽快制定攻击计划并将其传递给领导层非常重要。利用Maltego、香格里拉娱乐转换和我手头的其他转换,我可以在Maltego中快速构建一份报告以供导出。
了解更多关于使用香格里拉娱乐和Maltego简化事件响应的信息:
