来自 资讯 2021-06-08 03:13 的文章

云盾高防采集_防ddos价格_免费试用

云盾高防采集_防ddos价格_免费试用

熊能钻兔子洞吗?ThreatConnect确定了针对州选举委员会的攻击和针对土耳其、乌克兰政府的网络钓鱼活动之间的基础设施联系请阅读DNC入侵事件后的所有威胁性帖子:"重启水门事件:敲入民主党全国委员会","闪亮的物体?Guccifer 2.0和DNC漏洞,"名称服务器中有什么?","古奇弗2.0:人,神话,传奇?",搭建高防cdn,"Guccifer 2.0:所有的道路都通向俄罗斯","漂亮的熊有一种他们抓不到的痒","熊会在树林里漏水吗?"以及"俄罗斯对类固醇的网络行动"。 每个人心中的问题是:谁是最近报道的亚利桑那州和伊利诺伊州选举委员会(SBOE)妥协的幕后黑手?答案是,我们不知道。当我们审查联邦调查局的T-LD1004-TT时,我们最初发现了一堆高度间接的证据,表明对手可能来自俄罗斯。这些攻击依赖于广泛可用的开源工具,加上俄罗斯基础设施的表面参与,使我们认为俄罗斯的归因是合理的,但并不确定,因为我们无法确定这些攻击是出于犯罪动机还是有任何信心的国家赞助。我们也无法确定与针对任何其他州选举委员会的恶意活动有任何其他联系。然而,当我们调查联邦调查局快讯中的5.149.249[.]172 IP地址时,我们发现了2016年3月至8月针对土耳其执政的正义与发展党(AK)党、乌克兰议会和德国自由党人士的鱼叉式网络钓鱼活动,这符合已知的俄罗斯针对目标的重点和手法。当我们研究IP范围约为5.149.249[.]172的恶意活动时,我们发现了与活动相关的其他联系,这些活动可能是俄罗斯高级持续威胁(APT)活动的证据。围绕5.149.249[.]172活动的这种联系更暗示了国家支持的活动,而不是出于犯罪动机的活动,尽管我们无法根据现有证据评估袭击的幕后黑手。这一活动的时机是值得注意的,因为7月中旬,维基解密公布了大约30万封据称是通过土耳其正义与发展党(AK)的计算机系统妥协而获得的电子邮件。因此,我们不能明确地将钓鱼活动归为泄密的源头。然而,如果俄罗斯的APT参与者妥协并泄露正义与发展党的电子邮件,这将与俄罗斯最近关注美国政治的收集和影响行动相一致。对执政的土耳其党的收集可以为俄罗斯提供情报,有可能为东欧的外交关系和军事努力、叙利亚正在进行的军事行动提供信息,同时也可能为影响力行动提供素材,这些行动可能被用来公开诋毁或诽谤政客。下面的图表通过利用入侵分析的钻石模型,直观地展示了我们对攻击的了解(关于一个更古怪的例子,请参阅我们如何将钻石模型应用于毁灭死星)。图中央的钻石显示了最初共享的关于州选举委员会遭到攻击的信息。钻石上放射出的标注框突出了我们的主要发现及其与归因评估的相关性。威胁连接分析结果安排使用钻石模型代表攻击亚利桑那州和伊利诺伊州选举委员会与俄罗斯的间接联系在我们的研究过程中,我们发现了几条线索,这些线索表明(但不能证明)俄罗斯血统:8个IP地址中有6个属于俄罗斯拥有的托管服务5.149.249[.]172于2015年1月至5月主持了俄罗斯网络犯罪市场2015年乌克兰电网和新闻媒体拒绝服务攻击中发现了属于FortUnix基础设施的其他IP(与5.149.249[.]172相同)的IPAcunetix和SQL注入攻击方法与来自一个自称匿名波兰(@anpoland)句柄的视频非常相似,描述了他们如何从体育仲裁法庭(CAS)获得运动员记录。俄罗斯拥有的托管服务。联邦调查局报告中指出的六个域名归一家VPS/VDS托管提供商King Servers(King Servers[.]com)所有。虽然这些IP地址实际位于美国和荷兰,但King服务器总部位于俄罗斯之外,其网站默认为俄语,如下所示。俄罗斯VPS托管服务的使用表明,但并不明确表明,FBI报告中确定的幕后黑手是俄罗斯人。此外,DomainTools的King Servers域的WHOIS历史信息表明,它最初是由俄罗斯比斯克的"Vladimir Fomenko"注册的。在LinkedIn上,Fomenko的个人资料也表明他是King Servers的CEO和创始人。Tor中继vs Tor出口节点。其中一个King服务器IP,185.104.9[.]39,在8月份运行一个活跃的Tor中继,当时FBI的报告指出,它被发现入侵了"另一个州的选举委员会系统"。这个中继使用的昵称是"villariba",实际上不是一个出口节点。这一点很重要,因为通常情况下,如果攻击者通过Tor路由活动,则入侵中标识的终端IP应为出口节点的IP;此IP具有一个不是出口的Tor中继,这意味着此IP地址处的服务器托管着攻击者使用的附加代理服务,怎么做cc防御,或者攻击者实际上控制了服务器,并且可能控制了Tor中继。白皮书:推进网络安全计划的6种简单方法国际奥委会此前主办了俄罗斯网络犯罪论坛。先前托管在5.149.249[.]172的域之一是rubro[.]cc,该域已过期。然而,在Wayback Machine(回溯机器)中,此网站的历史条目显示HTTP 301重定向到网站https[:]//rubro[.]biz/。这个俄语网站名为MarkeT RUBRO Ltd[sic.],使用的标题为"ФоруМRUBRO-Черыырыыыыыыыыыыыыр与BlackEnergy活动相关的其他FortUnix基础设施。IP地址5.149.254[.]114和5.149.248[.]67(均为荷兰),与5.149.249[.]172属于同一家FortUnix Networks公司,先前分别在Sentinel报告和VirusTotal中确定与BlackEnergyBoot活动有关。这些IP的活动针对乌克兰电网和新闻媒体。对FortUnix网络的研究表明,这些网络属于HostZealot,ddos防御多少钱,一家总部位于保加利亚的VPS和VDS托管提供商,该公司在欧洲各国和加拿大经营至少13个IP范围。与开源工具重叠。联邦调查局的报告指出,攻击者使用Acuteix、SQL注入和SQLmap来攻击SBOE网站。这些工具和策略、技术和程序(TTP)与@anpoland(一个可能与俄罗斯APT活动有关的组织)用于扫描中情局网站和利用其数据库的工具和策略、技术和程序(TTP)一致。由于这些工具和方法被广泛使用,它们不属于某一特定群体;然而,SBOE和CAS活动的时间安排表明两者之间存在间接联系。一个意想不到的发展:5.149.249[.]172主机鱼叉攻击主要针对土耳其,乌克兰政府目标虽然我们无法确定与州选举委员会攻击有关的任何其他信息,cdn高防应急中心,但审查5.149.249[.]172 IP地址的托管决议使我们成为这些行为体的另一个目标。对该IP的被动DNS分析显示,2016年3月至8月期间,有域名为土耳其执政的正义与发展党(AK Party)主办的网站打字。对这个打字错误的调查让我们陷入了一个兔子洞,最终发现了最近一次主要针对土耳其和乌克兰政治组织的个人的鱼叉式网络钓鱼活动的证据被动DNS分析5.149.249[.]172两个域-akpartl.info公司[.]tr和支持邮件.biz2016年,[.]tr-在5.149.249[.]172 IP地址托管,时间与州选举委员会攻击事件一致。这个akpartl.info公司[.]tr domain似乎是在欺骗土耳其正义与发展党网站的合法域名,akparti.org网站[.]tr.在撰写本文时,这个冒充的域名重定向到合法的土耳其正义与发展党网站akpartiantubul[.]com。此欺骗域的邮件服务器,邮件.akpartl.info[.]tr利用莫斯科的网络邮件提供商Yandex作为邮件交换机。根据Shodan的说法,这个主机正在运行一个简单的邮件传输协议(SMTP)后缀服务。另一个域最近托管在5.149.249[.]172 IP地址,支持邮件.biz[.]tr似乎也被用来对付土耳其正义与发展党。此域当前重定向到前面提到的akpartistanbul[.]com合法域。这两个域都是在2016年1月注册的,后来被解析为5.149.249[.]172 IP地址,并且可能从5.149.249[.]172 IP地址开始运营。这个时机很重要,因为正义与发展党是维基解密2016年7月电子邮件泄露事件的受害者。然而,防御cc免费工具,为了确定5.149.249[.]172 IP地址与维基解密最终泄密之间的更实质性的联系,我们必须进一步深入研究akpartl.info公司[.]tr欺骗域。把兔子追进洞里利用ThreatConnect的Farsight被动DNS集成,我们能够识别出akpartl.info公司[.]tr欺骗域,包括ksdafoiuf9w54ygdjoi.akpartl.info公司[.]tr。参观ksdafoiuf9w54ygdjoi.akpartl.info公司[.]tr子域将访问者引导到ksdafoiuf9w54ygdjoi.akpartl.info公司[.]tr/admins/sign_,其中正在运行一个fishing Frenzy(一个开源网络钓鱼框架)的实例。注意下面截图中页面的标题和页脚。经过一番调查