服务器安全防护_网站ddos防护_
古奇弗2.0:条条大路通俄罗斯更新时间:美国东部时间2016年7月26日下午4:00Hill的Joe Uchill之前曾报道过Guccifer 2.0和Wikileaks DNC数据转储,他向我们提供了他与Guccifer 2.0通信的修订信息,这提高了我们对当前评估和假设的信心。看看乔的故事。 ThreatConnect跟随guccifer2.0的法国面包屑回到了俄罗斯的VPN服务请阅读DNC入侵事件后的所有威胁性帖子:"重启水门事件:敲入民主党全国委员会","闪亮的物体?Guccifer 2.0和DNC漏洞,"名称服务器中有什么?","古奇弗2.0:人,神话,传奇?","Guccifer 2.0:所有的道路都通向俄罗斯","漂亮的熊有一种他们抓不到的痒","熊会在树林里漏水吗?""俄罗斯对类固醇的网络行动"和"熊能爬进兔子洞吗?"。在我们最初的Guccifer 2.0分析中,ThreatConnect强调了所谓的DNC黑客故事中技术和非技术上的不一致,以及围绕Guccifer 2.0与媒体的各种互动的法国"连接"这一奇怪主题。当这些连接与CrowdStrike的DNC报告中提到的花哨的BEAR基础设施重叠时,我们调用了这些连接。现在,经过进一步调查,我们可以确认,古奇弗2.0正在使用俄罗斯的精英VPN服务,直接与媒体沟通和泄露文件。我们通过分析Voctiv的高级隐私和安全记者Kevin Collier与ThreatConnect共享的Guccifer 2.0电子邮件交换相关的基础设施,得出了这一结论。这一发现加强了我们目前的评估,即Guccifer 2.0是俄罗斯的一项宣传活动,ddos云防御发展历程,而不是一个独立的参与者。分析Guccifer 2.0邮件的标题2016年6月21日,The Smokinggun报告称,他们通过法国AOL账户与Guccifer 2.0进行了沟通。我们研究了在guccifer2.0的Twitter元数据中观察到的法语设置,以及Twitter遵循的模式,即guccifer2.0的帐户是从法语IP地址创建的。我们当时假设Guccifer2.0可能正在使用法国的基础设施与媒体进行交互。白皮书:当你有一个小团队时,推进网络安全计划的6个简单方法作为我们持续分析系列的结果,我们关注花式熊的基础设施,古奇弗2.0的背景和他的主张,媒体来源谁已经与古奇弗2.0通过推特和电子邮件互动与我们分享额外的数据。其中之一是voctiv的凯文科利尔,他的故事细节可以在这里找到。使用ThreatConnect电子邮件分析功能,我们能够分析Kevin与Guccifer 2.0的电子邮件交换,识别对手(Guccifer 2.0)电子邮件帐户和基础设施的详细信息,同时还编辑Kevin电子邮件和基础设施的敏感细节。对元数据的分析揭示了另外几个调查线索。在电子邮件导入过程中,ThreatConnect分析电子邮件消息头,并使用颜色代码突出显示感兴趣的指标,高防CDN购买,以显示这些指标是否已存在于平台中。这有助于不堪重负的眼睛或新手迅速理解他们所看到的。同时,ThreatConnect排除了对我们的调查毫无价值的合法或善意的细节。正如我们在ThreatConnect中看到的,Guccifer 2.0的AOL电子邮件消息显示,原始IP地址为95.130.15[.]34(DigiCube SaS–法国)。这是主机的IP地址,该主机通过AOL的web用户界面认证并发送电子邮件。我们还可以判断这个IP不是伪造的,因为元数据是AOL使用适当的DomainKeys Identified Mail(DKIM)配置从其基础结构中发送时添加的。从技术角度来看,Guccifer 2.0确实在利用法国AOL的账户。拥有Guccifer2.0自诩的技能的黑客很少会使用免费的网络邮件服务,这种服务会提供诸如原始IP地址之类的有用指标。大多数经验丰富的安全专业人士都会熟悉更愿意与执法部门合作的电子邮件提供商,以及提供商可能会透露多少有关其用户的元数据。加上Guccifer 2.0的前后矛盾的言论让他的技术主张听起来不可信,这一细节让我们认为操作美国在线账户的个人并不是真正的黑客,甚至没有那么精通技术。相反,与记者交流的宣传人员或公关人员。钻研Guccifer 2.0基础设施:VPN的画面开始浮现当我们专注于IP地址95.130.15[.]34时,我们询问了诸如Shodan和Censys这样的公共资源,以了解在这个主机上可以启用哪些服务。这样做的目的是为了更好地了解这个基础设施是由Guccifer 2.0拥有和运营、租赁或合作的,以及如何利用该基础设施在原始"来源"网络和调查人员或好奇的记者之间创造空间。根据Shodan的说法,OpenSSH(TCP/22)、DNS(UDP/53)和点对点隧道协议(PPTP)(TCP/1723)服务已经在这个主机上启用。安全shell(SSH)和点对点隧道协议服务强烈建议使用VPN和/或代理,这两种方式都允许Guccifer 2.0角色在其原始网络和与之通信的网络之间建立距离。SSH指纹可以用作标识符,链接使用相同SSH加密密钥的其他IP地址。95.130.15[.]34(DigiCube SaS–法国)的SSH指纹是fingerprint:80:19:eb:c8:80:a1:c6:ea:ea:37:ba:c0:26:c6:7f:61。在我们的研究过程中,通过搜索其他共享此指纹的服务器,我们发现了另外六个IP地址(95.130.9[.]198;95.130.15[.]36;95.130.15[.]37;95.130.15[.]38;95.130.15[.]40;95.130.15[.]41)。每个IP地址都在95.130.8.0/21网络范围内。这个范围被分配给Digicube SAS,一家法国托管提供商,被分配自治系统AS196689。IP地址类似于公寓楼中的公寓号码。整座大楼归AS196689所有和运营,网站怎么防御cc,但某些IP地址可能会泄露给其他公司和组织。Guccifer2.0将使用代理服务这一事实并不令人惊讶,我们的第一站是检查各种TOR代理注册站点。从我们能够发现的情况来看,这七个IP地址都不是所报告的TOR基础设施的一部分。这七个IP地址都是通过同一个SSH指纹连接的,所以另一个有趣的问题是查看这些邻居,ddos云防御云,看看我们是否可以推断出关于Guccifer 2.0 IP地址的任何有用信息。使用ThreatConnect的Farsight Security被动DNS集成,我们可以看到我们感兴趣的IP地址之一—95.130.9[.]198—自2015年2月以来一直托管域fr1.vpn服务[.]us。命名约定与我们的工作假设一致,即guccifer2.0正在利用基于法国的VPN基础设施与记者进行通信。接下来,我们找了我们在DomainTools的朋友来研究fr1.vpn服务[.]us域背后的注册者信息。我们很快找到了更多的证据来支持我们之前的研究,即Guccifer 2.0保持了俄罗斯的起源。在上图中,当前vpn服务[.]us的域解析似乎与一个名为James Dermount的纽约注册人相关,该注册人在Security and Host Ltd.下运营。我们还可以看到该域注册于2004年,最后一次更新是在2015年3月,到期日为2019年。当我们将这些信息与下面的2004年原始注册的DomainTools屏幕截图进行比较时,俄罗斯主题仍在不断涌现。我们可以看到我们在纽约的注册人詹姆斯德蒙特,但这一次是在VPN服务公司下运作的。这2004年的记录将注册人的电子邮件列为辅助服务@mail[.]ru,它使用免费的俄罗斯网络邮件服务邮件.ru之前在俄语论坛上也提到过招聘启事和汽车。后一个论坛将用户名"АетоерарькоВ"(铁人特许经营权的安东аHarkov)与电子邮件地址相关联。2004年美国注册的vpn服务使用的名称为xocma[.]net,与2016年的记录也有所不同。xocma[.]网络域名将总部位于莫斯科的Azer Karyagdy和TK Rustelekom LLC列为注册人名称和组织。有关利用名称服务器进行分析的更多信息,请参阅我们的博客文章。据DomainTools Historical Whois称,高防cdn504,2007年9月,同一注册人还用相同的电话号码和vpn_支持@mail[.]ru电子邮件帐户。最后,域名vpn服务[.]com也指向精英vpn网站,与vpn服务[.]us托管在同一IP上,但最近使用隐私保护服务注册。了解俄罗斯的精英VPN服务浏览vpn服务[.]美国,我们找到一个俄语网页精英vpn服务。该网站提到通过电子邮件和ICQ提供英语支持。更正:当在浏览器中启用Javascript时,该网站提供英语翻译。我们在Elite VPN服务上创建了一个帐户,并能够看到哪些VPN节点是从法国境内提供的。从这里,我们确认了从Guccifer 2.0邮件中识别出的SSH指纹是Elite VPN服务所独有的。所有的精英VPN服务节点在他们的网络接口和IP地址使用guccifer2.0通过电子邮件通信返回相同的SSH指纹。需要注意的是,Guccifer 2.0 AOL communications中显示的IP地址-95.130.15[.]34-未列为Elite VPN服务的选项。尽管它具有相同的SSH指纹,并且打开的端口(1723,PPTP)与列出的选项完全相同。这证明了