来自 防护 2021-06-08 03:06 的文章

抗ddos_防三高的粮食_解决方案

ThreatConnect研究小组如何利用该平台调查事件,识别情报,并对花式熊进行相关分析请阅读DNC入侵事件后的所有威胁性帖子:"重启水门事件:敲入民主党全国委员会","闪亮的物体?Guccifer 2.0和DNC漏洞,"名称服务器中有什么?","古奇弗2.0:人,神话,传奇?","Guccifer 2.0:所有的道路都通向俄罗斯","漂亮的熊有一种他们抓不到的痒","熊会在树林里漏水吗?"、"俄罗斯网络类固醇行动"、"熊能钻兔子洞吗?",和"给熊装上铃铛"。 介绍在公民记者网站Bellingcat向我们提供了识别针对他们的俄罗斯先进持续威胁(APT)活动的信息后,我们对技术分析(域名、IP地址、名称服务器和注册者)进行了大量研究。我们无法将这一点融入到我们最初的Belling the Belling the Belling的博客文章中,该博客更多地关注了FANCY Bear和Cyberberberkut的网络行动和对Bellingcat的报复行动的影响和影响。这项研究是一个完美的例子,说明在调查事件时如何使用威胁连接来识别大量额外情报,并进行相关分析,以促进组织的网络安全工作。最终,我们能够识别出几十个历史域、IP地址和别名,这些都很可能是FANCY BEAR造成的,并引导我们了解他们的一些策略、技术和过程(TTP)。 根据消息来源,一只全尺寸的花式熊的平均体重达到400磅。 当我们仔细查看与Bellingcat攻击有关的CATA501836和Carbon2u名称服务器时,我们发现了几十个活动域,这些域可能是由FANCY BEAR引起的。此外,这些领域中的许多欺骗新闻,政府和技术机构,并可能被用于当前或未来的花式熊市操作。被动的力量首先,ddos防御100g多少钱,我们决定在针对Bellingcat的鱼叉式网络钓鱼中发现的域名和IP地址来找点乐子。我们自己提出的挑战:根据Bellingcat提供的邮件头,尽可能多地确定BEAR基础设施。我们的方法:使用ThreatConnect平台和被动DNS集成来识别驻留在IP地址上的多个域,这些域很可能是FANCY BEAR使用的。以下是我们(尝试)采用的一般方法,以及来自该平台的屏幕截图示例,彩云美国高防cdn,展示了如何将该方法应用于来自美国westmail undeliversystem[.]com的Bellingcat spearphishing活动的域:1) 标识给定域的注册时间和注册该域的电子邮件地址。这决定了集中调查的时间范围以及一个注册电子邮件地址,该地址可用于本研究的未来迭代。  2) 标识此电子邮件地址注册的其他域。为将来的研究做好准备。当注册人的电子邮件地址属于特定的APT组时,确定他们注册的其他域标识属于该APT组的其他域。 3) 使用被动DNS,识别给定初始域的任何已知子域。这可能有助于识别邮件服务器或其他子域,这些子域与给定域不在同一个ip上,并且可以为本研究的未来迭代提供依据。 使用ThreatConnect的被动DNS集成来识别给定域的子域。 4) 利用被动DNS来识别在对手注册给定的初始域后承载该域的IP地址。在敌方注册域之后发现承载该域的IP地址有助于开始识别可归属于对手的IP。 5) 使用WHOIS和被动DNS,识别那些最有可能专用于对手的IP地址的子集。这进一步缩小了可归属于APT的IP地址列表。通常,这包括以下IP地址:a) 不是停车场,在出售或使用之前,https防御cc,可能会托管数千个域名。b) 不是本质上接管和托管恶意域以阻止任何流量到达预期目的地的坑。c) 通常托管少量域。d) 不属于特定的托管服务或像CloudFlare这样的反向代理,这些代理看起来可能会将少量不相关的域与单个IP一起定位。正如我们在DomainTools的朋友在下面的截图中所示,给定IP的WHOIS信息有时可能会表明它是否是专用的基础设施。  6) 使用被动DNS,标识与初始域在同一IP上托管的其他域。这将标识我们与指定域在专用IP上共同定位的那些域,这允许我们将这些域归属于APT。在下面的示例中,红色方框突出显示给定的域、时间范围和专用IP,而蓝色框是与给定域共同定位的新标识域。 蓝色部分突出显示了与us westmail undeliversystem[.]com相同时间段内托管在同一IP地址的域。7) 标识用于注册这些域的电子邮件地址。这可以作为未来迭代的附加素材。8) 使用来自初始注册者、共定位域和其他注册者的新标识的域迭代分析。在上述所有演示步骤中,我们可以利用ThreatConnect平台识别与这些指标相关的额外情报。 应用方法论从Bellingcat提供给我们的邮件头中标识的6个域、5个IP地址和3个电子邮件注册者开始,我们完成了上述步骤。在我们知道之前,我们已经确定了32个电子邮件地址和别名,180多个域,以及50多个IP地址,这些地址很可能与花哨的BEAR操作有关。我们还为这180多个域确定了300多个子域,但由于时间限制,没有使用这些子域迭代我们的分析。使用Maltego,我们生成了一个链接图来显示所有这些实体之间的关联以及它们是如何与Bellingcat事件联系起来的。下面的图片显示了链接图的一部分,其中包括在Bellingcat鱼叉式钓鱼中确定的一些基础设施。此外,我们还分享了20160907B事件中的所有这些指标:从Bellingcat输入中追踪出花哨的贝尔斯登基础设施。 这张图片显示了域、IP地址和注册者电子邮件地址之间的关系,我们可以通过从Bellingcat提供的花哨的BEAR-spearphishing电子邮件中找到基础设施来识别这些关系。要查看完整图像,请在此处下载。大多数域名、IP地址和电子邮件地址都已经在FancyBear的行业报告中找到。然而,还有一些尚未确定,百度云加速能防御cc,可能为组织根据其网络审查历史活动提供了额外的背景。从已确定的领域中,一些值得注意的发现——这是所有花哨熊活动的一个子集——包括以下内容:域名注册表明,FANCY BEAR曾试图攻击或欺骗多个国家的政府、军事和外交部的域名,包括美国、亚美尼亚、阿尔巴尼亚、波兰、阿富汗、伊拉克、智利和匈牙利等。一些注册域名欺骗军事展览,如sofexjordanx[.]com、sofexjordan2014[.]com、eurosatory2014[.]com、eurosatary[.]com、eurosator[.]com、counterterorexpo[.]com、natoexhibitionff14[.]com、militaryexponenews[.]com和evronaval[.]com。如前所述,一些花哨的熊域欺骗新闻机构,如vice news[.]com(vice)、tolonevvs[.]com(阿富汗的Tolonews)、Novinite[.]com和n0vinite[.]com(保加利亚Novinite news)。FancyBear还注册了几个欺骗技术组织的域名,如webmail saic[.]com(saic)、bostondyn[.]com(Boston Dynamics),以及其他无处不在的组织,如Google、Adobe和Microsoft。这个达芬奇mxx[.]ag和达芬奇mxx[.]org[.]ua邮件服务器托管在与Bellingcat攻击中使用的邮件服务器相同的46.22.208.204 IP地址。这些电子邮件服务器很可能被用来攻击或欺骗DaVinci分析集团(DaVinci analysis Group),一家乌克兰情报和咨询公司此前指责俄罗斯情报部门干涉乌克兰军事合同。审核注册人在查看与用于注册域的电子邮件地址和虚拟角色相关联的DomainTool的WHOIS信息时,我们确定了下表中的信息。我们发现这些参与者用于生成角色和注册域的ttp中有一些趋势:在一些情况下,注册人使用的电话号码是"3"后跟字符串"1"。进一步证明了参与者并非不受操作安全错误的影响,其中一个域由GreedyMaster先生@邮件[.]com,exerclto[.]pt,使用了名字"Thomas Aksnes"-一个早期建立的别名-而不是"Josef Sauquet Llonch"这个词GreedyMaster先生@邮件[.]com域。此类错误可以帮助组织将已识别的活动与恶意参与者或组关联起来。演员们倾向于使用来自欧洲的角色,其中一些人自称来自荷兰、法国和罗马尼亚。一些人使用合法组织的电话号码,包括Avis租车公司(8006333469)、纽约税务局(5184852889)、瑞典地区议会(480448382)、皇冠假日酒店(31205563000)、文华东方酒店(60323808888)、西班牙度假租赁公司(34933042660),以及在线旅游预订网站(390

,ddos防御教学