安全是有分量的

ddos防御攻击_棋牌游戏高防_快速接入

2022-01-15 00:28栏目:网络

ddos防御攻击_棋牌游戏高防_快速接入

2020年2月18日

多年来,我们一直在追踪被我们称为黑女妖的间谍威胁演员(在开源软件中也称为Kimsuky)。2019年,它发起了多个平行的网络间谍活动,从大规模的证件收集到狭义的间谍和过滤行动。

这项活动的基础始于2018年8月,当时我们观察到黑女妖在政府范围内建立了大量模仿组织的域,学术界和政策部门。这构成了多个矛式网络钓鱼和凭证收集活动的基础。

在跟踪黑女妖的过程中,我们确定了威胁行为人的工具、技术和程序(TTP)中的一些高度特征元素。在回顾黑女妖2019年活动的两部分中,我们将:

贸易工艺:最常用的域和命名约定

首先,让我们深入了解黑女妖在建立其基础设施时的行为方式。2019年,防火墙如何防御ddos攻击,通过使用的IP地址,可以将不同的黑女妖活动联系在一起。例如,在许多情况下,黑女妖恶意软件的命令和控制域解析为以下范围内的IP地址-185.224.137[.]0/23和185.224.138[.]0/23

地址185.224.137[.]164,至少从2018年12月到2020年1月,已被用于服务至少24个恶意黑女妖域,包括(但不限于):

在2019年6月至11月期间,维盟ddos防御,它还主持了域名kakao check[.]esy[.]es,作为一个新恶意软件家族样本的指挥和控制(C2),我们称之为MyDogs——一种被认为是黑女妖独有的老鼠,AhnLab首先在开源中报告了这一点,作为其对"红盐行动"分析的一部分。1

图1.185.224.137[.]164是一个IP的例子,该IP在2019年至2020年期间托管了大量黑女妖域名,与不同的活动相关。此处显示了其中一些域名。

在Black Banshee,其中一些在其活动中的频率非常突出。

虽然这些域可供任何人使用,并且并非所有子域都是恶意的,但Black Banshee在不同的操作中多次使用这些域上的子域。其他以朝鲜为基地的威胁行动方,特别是APT37/Reaper,在2019年也使用了一些相同的域名(如hol[.]es4,890m[.]com5)。

图2。2019年不同黑女妖战役之间的一些联系的高级概述。

即使子域的父域不相同,我们的分析师注意到对手注册的基础设施中存在一种命名模式。我们看到黑女妖走了三条主要的域名命名路线:

黑女妖在指挥控制服务器端文件夹的设置上也是一致的:

总之

在跟踪朝鲜籍威胁演员黑女妖(又称Kimsuky)时,我们观察到威胁演员表现出一系列的基础设施设置习惯。其中包括使用特定IP范围来设置参与者控制的命令和控制域,以及用于此类域的命名约定,服务器端文件夹名称一直被黑女妖在其C2s中重复使用。

这些习惯和TTP有效地使我们能够通过指挥和控制基础设施中的直接链接和相似性连接多个战役。

但这还不是全部。在2019年将多个黑女妖的业务联系起来后,我们发现出现了不同的活动"集群"——通过基础设施链接、类似的交易、共享指标和匹配目标将多组活动和业务联系在一起。

在即将发布的博客中,我们将详细说明这些集群中发现的活动之间的联系,并就TTP和目标方面的一致性提供战略见解。

1.《安全问题:红盐行动分析报告》,载于AhnLab《亚欧会议报告第96卷2019年第3季度》2.《Kimsuky:追踪长矛网络钓鱼之王》,vps防御ddos程序,Jaeki Kim,Kyong Ju Kwak,Min Chang Jang,如何用cdn防御ddos,VirusBulletin(2019年10月4日)3.APT集团"Konni"和"Kimsuky"之间的共同点,美国东部时间安全(2019年6月10日)4.CTO-TIB-20181122-01A-收割机挂钩5.CTO-QRT-20190424-01A-诺基对阵挪威6.《红眼黑客集团详细分析》,浅谈DDos攻击攻击与防御,AhnLab,2018年5月

相关内容

2019年,普华永道观察到朝鲜威胁演员黑女妖的活动增加。在调查黑女妖2019年的活动时,我们发现一名…

联系我们

克里斯·麦康基

普华永道英国公司网络威胁行动首席合作伙伴

电话:+44(0)7725 707360

斯维娃·维托里亚·斯切纳雷利

普华永道英国公司网络威胁情报分析师