【CTI】网络威胁情报培训案例学习之Moonlight Maze

admin 2024年11月24日12:29:59评论5 views字数 1539阅读5分7秒阅读模式
月光迷宫Moonlight Maze
国家级网络对抗的开端

【CTI】网络威胁情报培训案例学习之Moonlight Maze

【CTI】网络威胁情报培训案例学习之Moonlight Maze
以政府和军队为攻击目标

1999 年,世界各地的报纸都报道了针对美国政府和军事网络的高度复杂的外国情报行动。目标包括五角大楼、美国国家航空航天局、能源部核武器和研究实验室、国防承包商以及各种国家实验室和大学。

事件调查

月光迷宫在被报道之前已经持续了很久,1996年11月,科罗拉多矿业大学的管理员在他们的Sun系统中发现了一些可疑行为,这些入侵痕迹被报告给了美国海军,但没有人对此继续进行调查。1997年,美国能源部发现日志中存在超过300次的访问尝试。1998年6月,一位管理员发现了来自美国空军的访问流量,他们将此事报告给了美国国防信息局DISA,于是DISA开始调查此事。DISA的分析师追踪到了一台C2服务器,并在FTP服务上通过日志发现了一份很长的网站清单,这些网站都需要通过美国的大学进行路由转发。根据以上痕迹证明这一系列的入侵活动是有组织的,而不是一个个孤立的入侵事件。

在分析整个入侵事件期间,分析师尝试将线索进行关联,他们发现所有被当作跳板的大学均属于“Militarily Critical Technologies List”军事关键技术清单中的学校。因此他们确定了本次入侵中攻击组织的目标之一是美国军方。

1998年底,分析师在服务器上取证到的样本中,发现代码中包含俄语单词书写的“子进程”,并且攻击在圣诞节期间持续进行,但在圣诞节后的一周停止了三天,这个时间正是东正教圣诞节期间。根据这些信息,分析师们认为这次入侵攻击来自于俄罗斯。

2016年,卡巴斯基实验室和伦敦皇家学院的研究人员发现一台名为“HR Test”的服务器,研究人员发现这台服务器在Moonlight Maze攻击期间被用于监控和记录所有敌对活动,包括网络连接和二进制文件。

分析师将这些数据进行整理,最终输出便于分析的格式。尽管这些只是持续了两年多的APT行动中六个月的数据。但这些整理后的数据价值非常高,从这些数据中,分析师发现攻击组织的团队远超想象。这些攻击者水平参差不齐,既有使用一些工具时命令拼写错误的业余人员,也有使用基于Phrack杂志开源的后门工具LOKI2进行二次开发的专业团队。

总结

卡巴斯基的详细调查报告中,他们指出了一个细节,“将信息公开降低了事件分析的门槛。研究人员公开谈论研究和发现的次数越多,就会有越多的人主动提供关键信息或关键服务器,以帮助研究人员了解过去发生的事情。使用包括查看泄露和公开报道的信息在内的研究方法,结合对事件的第一手报道,才能发现跨越 20 年的时间线。虽然调查结果不是决定性的,并且仍然缺少一些关键细节和指标来巩固事件之间的联系,但有强烈的迹象表明,月光迷宫的攻击者与 Turla 的攻击者是一致的,而且他们的行动自 1996 年以来一直在进行。”

【CTI】网络威胁情报培训案例学习之Moonlight Maze

所有案例研究都有可借鉴之处,既可以分析当前的案例,回顾历史的案例并找出其中的相关性也是分析人员需要的,月光迷宫案例研究就是一个明显的例子。现代网络威胁情报分析的许多方面都可以与从月光迷宫中吸取教训。默认情况下,不应将入侵视为孤立事件。重要的是收集和共享有助于识别跨目标和跨时间的活动模式和活动相似性的信息。

【CTI】网络威胁情报培训案例学习之Moonlight Maze
【CTI】网络威胁情报培训案例学习之Moonlight Maze
参考链接

https://securelist.com/penquins-moonlit-maze/77883/

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180251/Penquins_Moonlit_Maze_PDF_eng.pdf

原文始发于微信公众号(Desync InfoSec):【CTI】网络威胁情报培训案例学习之Moonlight Maze

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月24日12:29:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【CTI】网络威胁情报培训案例学习之Moonlight Mazehttps://cn-sec.com/archives/1617613.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息