新闻资讯

新闻资讯 / 使用DNS和子域智能重访APT1 IoC

使用DNS和子域智能重访APT1 IoC

时间 : 2020-12-18 14:48:08

网络间谍活动是一种网络攻击,旨在窃取敏感且经常分类的信息,从而获得超过公司或政府的优势。2020年数据违规调查报告(DBIR)显示,去年各行各业的数百起事件是由间谍活动引起的。

我们放大了一组网络间谍活动,这些威胁活动者被认为是造成数十起安全漏洞的原因。被称为“ APT1 ”或“高级持久威胁组1”的组是最多产且持久的APT组,据报道他们窃取了数百TB的数据,并维持了对受害网络的访问长达1764天。

虽然该小组不活跃,但他们的植入代码在2018年已被重用。APT1的危害指标(IoC)是否也可以重用?当前活动的完全限定域名(FQDN)中是否检测到APT1模式?

APT1 IoC和商标

网络安全专业人员密切监视包括APT1在内的APT组。在Fireeye的一份报告中,详细介绍了这种监视,我们获得了多个IoC,包括:

  • 88个域名
  • 7个子域
  • 8个电子邮件地址
  • 6个网块
  • 3个IP地址

APT1演员也倾向于在使用的武器中留下签名。例如,被标识为“丑陋的大猩猩”的APT1角色特别在FQDN或子域中印有首字母“ UG”。报告中提到的一些示例是:

  • ug-opm [。] hugesoft [。] org
  • ug-co [。] hugesoft [。] org
  • ug-rj [。] arrowservice [。] net
  • ug-hst [。] msnhome [。] org

VirusTotal将所有这些子域标记为“恶意”。

回顾APT1 IoC

我们使用以下工具重新访问并发现有关IoC的更多信息:

  • 批量WHOIS查找
  • DNS查询
  • IP Netblock API
  • 域和子域发现
域名和关联的IP地址

截至2020年12月4日,在公开归因于APT1的88个域名中,有28个仍在域名系统(DNS)中处于活动状态。一些域名是合法公司的错字,其中一些现在是IoC的所有者(例如防盗策略的一部分)。这些域及其各自的注册组织是:

  • arrowservice [。] net:艾睿电子有限公司
  • mcafeepaying [。] com: McAfee LLC
  • msnhome [。] org: Microsoft Corporation
  • myyahoonews [。] com: Oath Inc.
  • yahoodaily [。] com: Oath Inc.

在剩余的23个APT1域IoC中,VirusTotal将19个IoC称为“恶意”,并且大多数安全系统已经将其列入黑名单。但是,即使其中一个是不能归属于新闻组织的CNN相似域,也不会对其中四个域进行标记。

下表显示了四个域的对应IP地址以及它们是否已被举报为恶意。我们还检索了它们的IP网络块,并检查了它们是否包含在Fireeye报告的可公开获得的IoC中。

 

Domain IP Address IP Tagged as Malicious? IP Netblock IP Netblock an IoC?
cnndaily[.]net 104[.]31[.]82[.]32 No, but with 3 files communicating 104[.]31[.]80[.]0 — 104[.]31[.]95[.]255 No
comrepair[.]net 23[.]236[.]62[.]147 Yes 23[.]236[.]48[.]0 — 23[.]236[.]63[.]255 No
dnsweb[.]org 67[.]222[.]16[.]131 No 67[.]222[.]16[.]0 — 67[.]222[.]23[.]255 No
uszzcs[.]com 103[.]42[.]182[.]241 No 103[.]42[.]182[.]0 — 103[.]42[.]182[.]255 No

组织可能还希望重新访问这些IoC,并将其包含在黑名单中,因为它们可能会被重用。域名comrepair [.] net可以解析为一个恶意IP地址。

子域名

我们使用“域和子域发现”工具来查看是否有包含Ugly Gorilla签名的子域。我们使用字符串“ ug-”并搜索包含所述文本字符串的子域。出现了以文本字符串开头的大约590个子域,包括IoC ug-co [.] hugesoft [.] org。

 

 

其中一些子域可能是无辜的,只是碰巧以“ ug-”开头。但是,他们值得研究,特别是因为APT1众所周知地用上述文本字符串签署了他们的FQDN。

 

APT1组似乎已变得不活跃。但是,这并不意味着他们不能将其武器库中的武器委托给其他网络攻击组织。实际上,他们可能已经在代码中这样做了。除了从黑名单站点中收集见解之外,对于组织来说,重新访问该组织的IoC,检查最近的可疑活动以及发现更多的域和IP足迹也是一个好主意。