网络威胁情报 | Friday Overtime Trooper

本文将分别从两个环境出发，以实践来体验利用威胁情报分析可疑文件的过程。

Friday Overtime

现在你是一位安全分析人员，正在美美等待周五过去，但就在即将下班之时意外发生了：你的客户发来求助，说他们发现了一些可疑文件，并急需专业分析人员进行分析，以尽快确认该文件的性质和危害。

为了能尽快下班，深呼吸！然后理清头绪，作为安全分析人员，完整的处理进程如下所示：

1. 获取可疑文件样本，并确保其保存在安全环境下
2. 通过自动化的恶意软件分析工具等方式对样本进行分析，以快速了解初步状况
3. 进行手动分析，深入了解该可疑文件的行为，并确认它们的通信方式
4. 将调查结果与全球威胁情报数据库进行关联，以识别已知特征和行为
5. 编写包含了缓解和恢复步骤的综合报告，确保客户可以迅速应对潜在威胁

在本节，我们重点先完成第二步：对样本的初步分析。

点进我们的系统，里面有客户的求助信息。

Q1：谁分享了可疑文件样本？

A1：Oliver Bennett

在客户的求助信息中附上了可疑文件压缩包，解压密码已经在求助信息中给出，因此直接下载到本地并解压（因为现在处于虚拟环境中，所以直接可以本地操作）。解压之后可以得到这些文件：

可以通过文件哈希值或直接上传的方式，到 VirusTotal 中进行了解。

Q2：samples.zip 中 "pRsm.dll "文件的 SHA1 哈希值是多少？

A2：使用sha1sum pRsm.dll命令得出9d1ecbbe8637fed0d89fca1af35ea821277ad2e8

在获得了可疑文件样本的SHA1哈希值，并在 VirusTotal 中搜索之后可以得到该样本的初步分析结果：

Q3：哪个恶意软件框架利用这些 DLL 作为附加模块？

A3：根据图中的红框看，是 MgBot 框架

从上述结果已经可以确定这是个恶意文件，但是它具体是用来干什么的？在 COMMUNITY 板块中的两个信息给了我们入手点。这两个信息告诉我们，这个恶意文件在这些报告中出现过：

点进这两个报告，搜索该文件名，可以发现这个恶意文件是用于捕捉音频的。

在 MITRE ATT&CK 框架中也记录了这种攻击手法：

Q4：该恶意软件框架中使用 pRsm.dll 链接到哪种 MITRE ATT&CK 技术？

A4：T1123

在浏览之后，相比之下，这一篇报告显然更符合客户发送给我们的恶意软件，因此可着重通过这一篇报告了解该恶意软件。报告中提到了该恶意样本的首次出现时间、各个文件的用途以及IOC、C2网络IP地址以及使用到的MITRE ATT&CK 框架内的技术。

Q5：在 2020-11-02 首次出现的恶意下载位置的通过 CyberChef 处理的无害化 URL 是什么？

A5：hxxp[://]update[.]browser[.]qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296[.]exe

Q6：2020-09-14 使用这些模块首次检测到的 C&C 服务器的通过 CyberChef 处理的无害化 IP 地址是什么？

A6：122[.]10[.]90[.]12

最后，我们还可以在 VirusTotal 中搜索该C2服务器的相关信息：

可以发现，这个C2服务器依然存活，在几周前还有与其通信的文件。

Q7：托管在同一 IP 上以 Android 设备为目标的 spyagent 系列间谍软件的 SHA1 哈希值是多少？

A7：点击红框中 Type 为 Android 的 Name，进入到详情页面，得知其 SHA1 哈希值为1c1fe906e822012f6235fcc53f601d006d15d7be

Trooper

在过去几个月里，一家跨国技术公司成为了数次网络攻击的目标。攻击者成功窃取了敏感的知识产权，并导致公司运营中断。作为网络威胁情报分析员，您的任务是识别威胁组织使用的 TTP，并尽可能多地收集有关其身份和动机的信息。在本节，会提供一份关于攻击者的报告，您将根据这份报告，使用 OpenCTI 平台以及 MITRE ATT&CK来了解攻击者。

Q1：APT X 使用什么样的网络钓鱼活动作为其 TTP 的一部分？

A1：根据报告中的第一段，是 spear-phishing emails

Q2：APT X 使用的恶意软件名称是什么？

A2：USBferry

为了能够深入这个APT组织，我们通过 OpenCTI 平台进行分析。

OpenCTI 是一款开源的网络威胁情报平台，旨在帮助组织高效地收集、分析、管理和共享威胁情报数据。它由法国国家计算机应急响应团队（CERT-FR）主导开发，遵循 STIX/TAXII 等国际标准，支持与其他安全工具的无缝集成。

我们可以通过这个平台找到关于 USBferry 的信息，点进去：

Q3：恶意软件的 STIX ID 是什么？

A3：malware–5d0ea014-1ce9-5d5c-bcc7-f625a07907d0

可以凭借 OpenCTI 平台，从 USBferry 这个攻击技术出发，获取诸多相关信息，比如常用这个技术攻击的组织：

Q4：利用 USB，APT X 使用了什么技术进行 initial access？

A4：Replication through removable media

Q5：APT X 的真实面目是?

A5：Tropic Trooper

在得知 APT X 组织的真实面目之后，我们还可以在这个平台上获取关于这个组织的更多信息：

Q6：在 OpenCTI 上，有多少种 Attack Pattern 技术与 APT 相关？

A6：39

Q7：与 APT 关联的工具名称是什么？

A7：BITSAdmin

现在，我们将获取到的情报与 MITRE ATT&CK 框架联系起来，以其中的 Valid Accounts为例：

Q8：APT 在 Valid Accounts 下使用的子技术是什么？

A8：Local Accounts

点进“Local Accounts”，了解其属于哪些战术：

Q9：上述技巧属于哪种战术？以 Kill Chain 的顺序排列回答

A9：Initial Access, Persistence, Defense Evasion and Privilege Escalation

还可以看看该组织在其他战术中的常用技术：

Q10：在 Collection 战术中，该组织以使用什么技术而闻名？

A10：Automated Collection

小结

这两个实践内容让我们利用威胁情报，由一点入手，逐步了解到威胁的整体，包括其背后的组织、其使用的技术等，使我们能够更加有针对性地处理这些威胁。