今日威胁情报2020/12/14-16(第330期）

总有刁民想害朕

高级威胁分析

1、旺刺组织（APT-C-47）使用ClickOnce技术的攻击活动披露

ClickOnce是近年来微软发布的一种软件部署技术，它可以创建基于Windows的自更新应用程序，让这些应用程序可以在用户交互最少的情况下安装和运行。2019年的美国Blackhat大会上，美国国土安全部所属CISA局的攻防专家曾公布了利用最新的ClickOnce扩展文件（.appref-ms）进行恶意攻击的技术原理。该攻击方式区别于常规的恶意软件植入，由于微软设计的安装交互方式，使其非常容易被用于诱导安装恶意软件。

1. Atm 分类, 大部分IP 段都为局域网地址, 此分类是用于过滤局域网段

2. Ipx分类，IP地址范围较小，属于不同国家地区的资产

3. ImpLnk 分类，在公开的信息中疑似被归属于微软的资产

4. NetBios分类, 主要命中在美国 / 英国 / 加拿大 / 爱尔兰地区

后门恶意代码的主要运行逻辑如下：

1. 判断当前进程名称是不是solarwinds.businesslayerhost，若不是则退出

2. 比较当前系统时间、dll的修改时间，如果小于12天，则退出,

   a)反之, 创建命名管道"583da945-62af-10e8-4902-a8f205c72b2e".

3. 获取当前系统加入的域名称，如果名称为空或无效，则退出

4. 生成UserID(MAC地址+域名称+MachineGuid)，失败则退出,

   a)如果成功, 则关闭前文中开辟的管道句柄

5. 对抗分析, 分别检测了分析工具文件名称列表、杀软服务名称列表、驱动文件列表

    a)如果有检出, 则不进行下一步操作, 如果杀软服务在有效的情况, 则尝试禁用服务

6. 网络连通测试, ping api.solarwinds.com，网络请求失败则退出

7. 生成DGA域名，发送请求响应

https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q

    网上太多猜测了，我补充点失陷检测类方面的小tips：以后更新软件，怕被供应链，其实可以看下自己的网络请求，网络外联，win和linux 都有netstat 命令，实在不行，推荐个工具dnsquerysniffer，抓一天自己的网络请求包，或许能发现一些线索呢？

3、中招目标首次披露：SolarWinds供应链攻击相关域名生成算法可破解

https://mp.weixin.qq.com/s/v-ekPFtVNZG1W7vWjcuVug

DGA域名list:

https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt

C2已被接管。

4、火眼和volexity发布的关于SolarWind的Orion软件产品供应链攻击的分析报告。结合上面两家安全公司的分析，十分建议重读、多读一下。

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

关于这个产品的全球使用情况

https://app.binaryedge.io/services/query?query=country:国家%20SolarWinds%20Orion&page=1

https://www.zoomeye.org/searchResult?q=title%3A%22Solarwinds%20Orion%22

5、针对中国、韩语地区、日本、越南等亚洲国家的移动间谍软件攻击。开发的C2控台页面还是中文……

https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail

6、PyMICROPSIA：来自AridViper的新窃取木马，中东地区活动。PyMICROPSIA是一种基于Python的恶意软件，使用通过PyInstaller生成的Windows二进制文件专门针对Windows系统，该木马可能正在努力添加多平台支持（WINDOWSMACOS）

https://unit42.paloaltonetworks.com/pymicropsia/

技术分享

1、maze ransomware钻石模型以及各个元素分析

https://killbit.medium.com/applying-the-diamond-model-to-cognizant-msp-and-maze-ransomware-and-a-policy-assessment-498f01bd723f

2、Gitpaste-12挖矿的软件（变身蠕虫）攻击，利用以公开的多个攻击针对Web应用程序，IP摄像机，路由器等漏洞，控制并挖矿。downloader主要从github 中来……

https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm

3、威胁情报分析理论

https://threatconnect.com/blog/infrastructure-research-hunting/

4、分析商业特马Agent Tesl

https://cofense.com/strategic-analysis-agent-tesla-expands-targeting-and-networking-capabilities/

5、深入研究地下商业的黑产组织Fxmsp

https://www.group-ib.com/resources/threat-research/fxmsp-report.html

6、机器学习训练样本，2000W

https://ai.sophos.com/2020/12/14/sophos-reversinglabs-sorel-20-million-sample-malware-dataset/

7、通过Wi-Fi信号从计算机中窃取数据（无Wi-Fi硬件）

https://thehackernews.com/2020/12/exfiltrating-data-from-air-gapped.html

https://arxiv.org/abs/2012.068844

漏洞相关

1、CVE-2020-25183，CVE-2020-25187，CVE-2020-27252，真正的远程“kill man”,医疗设备严重漏洞，还是针对人体心脏的设备……MyCareLink Smart 25000 Patient Reader

https://us-cert.cisa.gov/ics/advisories/icsma-20-345-01

网络战与网络情报

1、干扰国家大选案例，mark

https://www.reuters.com/article/facebook-africa-disinformation-idUSL1N2IV1SO

2、如链接所言。研究熊的好文。

https://newdirection.online/2018-publications-pdf/ND-report-RussiasInfluenceInBulgaria-preview-lo-res.pdf

3、印度一家总部位于诺伊达的私营公司为该国国防军提供技术解决方案的关键和机密数据遭到黑客入侵，导致机密信息被盗。ELCOM Innovations公司声称，网络攻击造成的损失估计达5亿卢比。划重点，诺伊达、ELCOM Innovations

https://ciso.economictimes.indiatimes.com/news/defence-tech-service-provider-firms-data-hacked-company-claims-rs-50-cr-loss/79736076

4、美国国土安全部（DHS），州政府（State）和国立卫生研究院（NIH）加入了5个（且还在不断增加）联邦机构的名单中，这些机构确认遭到了大规模的俄罗斯网络间谍攻击

https://boingboing.net/2020/12/14/dhs-state-and-nih-join-list-of-5-and-counting-federal-agencies-confirmed-hacked-in-massive-russian-cyberespionage-campaign.html

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/12/14-16(第330期）