1999 年,世界各地的报纸都报道了针对美国政府和军事网络的高度复杂的外国情报行动。目标包括五角大楼、美国国家航空航天局、能源部核武器和研究实验室、国防承包商以及各种国家实验室和大学。
月光迷宫在被报道之前已经持续了很久,1996年11月,科罗拉多矿业大学的管理员在他们的Sun系统中发现了一些可疑行为,这些入侵痕迹被报告给了美国海军,但没有人对此继续进行调查。1997年,美国能源部发现日志中存在超过300次的访问尝试。1998年6月,一位管理员发现了来自美国空军的访问流量,他们将此事报告给了美国国防信息局DISA,于是DISA开始调查此事。DISA的分析师追踪到了一台C2服务器,并在FTP服务上通过日志发现了一份很长的网站清单,这些网站都需要通过美国的大学进行路由转发。根据以上痕迹证明这一系列的入侵活动是有组织的,而不是一个个孤立的入侵事件。
在分析整个入侵事件期间,分析师尝试将线索进行关联,他们发现所有被当作跳板的大学均属于“Militarily Critical Technologies List”军事关键技术清单中的学校。因此他们确定了本次入侵中攻击组织的目标之一是美国军方。
1998年底,分析师在服务器上取证到的样本中,发现代码中包含俄语单词书写的“子进程”,并且攻击在圣诞节期间持续进行,但在圣诞节后的一周停止了三天,这个时间正是东正教圣诞节期间。根据这些信息,分析师们认为这次入侵攻击来自于俄罗斯。
2016年,卡巴斯基实验室和伦敦皇家学院的研究人员发现一台名为“HR Test”的服务器,研究人员发现这台服务器在Moonlight Maze攻击期间被用于监控和记录所有敌对活动,包括网络连接和二进制文件。
分析师将这些数据进行整理,最终输出便于分析的格式。尽管这些只是持续了两年多的APT行动中六个月的数据。但这些整理后的数据价值非常高,从这些数据中,分析师发现攻击组织的团队远超想象。这些攻击者水平参差不齐,既有使用一些工具时命令拼写错误的业余人员,也有使用基于Phrack杂志开源的后门工具LOKI2进行二次开发的专业团队。
在卡巴斯基的详细调查报告中,他们指出了一个细节,“将信息公开降低了事件分析的门槛。研究人员公开谈论研究和发现的次数越多,就会有越多的人主动提供关键信息或关键服务器,以帮助研究人员了解过去发生的事情。使用包括查看泄露和公开报道的信息在内的研究方法,结合对事件的第一手报道,才能发现跨越 20 年的时间线。虽然调查结果不是决定性的,并且仍然缺少一些关键细节和指标来巩固事件之间的联系,但有强烈的迹象表明,月光迷宫的攻击者与 Turla 的攻击者是一致的,而且他们的行动自 1996 年以来一直在进行。”
所有案例研究都有可借鉴之处,既可以分析当前的案例,回顾历史的案例并找出其中的相关性也是分析人员需要的,月光迷宫案例研究就是一个明显的例子。现代网络威胁情报分析的许多方面都可以与从月光迷宫中吸取教训。默认情况下,不应将入侵视为孤立事件。重要的是收集和共享有助于识别跨目标和跨时间的活动模式和活动相似性的信息。
https://securelist.com/penquins-moonlit-maze/77883/
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180251/Penquins_Moonlit_Maze_PDF_eng.pdf
原文始发于微信公众号(Desync InfoSec):【CTI】网络威胁情报培训案例学习之Moonlight Maze
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论