如何使用威胁情报查询工具追踪高级持续性威胁(APT)

admin
admin
admin
135125
文章
109
评论
2025年2月13日16:02:58评论16 views字数 2225阅读7分25秒阅读模式

更多全球网络安全资讯尽在邑安全

如何使用威胁情报查询工具追踪高级持续性威胁(APT)

高级持续性威胁 (APT) 是一种复杂而隐蔽的网络攻击,旨在未经授权地长期访问目标的网络。这些攻击是由技术娴熟的威胁行为者(通常是国家支持的团体或有组织犯罪集团)精心策划和执行的,目的是窃取敏感数据、进行间谍活动或破坏运营。

APT 的技术细分

  1. 高级技术:APT 采用自定义恶意软件、零日漏洞利用和社会工程等尖端方法来渗透网络。攻击者不断调整他们的工具以逃避检测。

  2. 持久性:攻击者旨在通过创建多个后门和冗余入口点,在很长一段时间(有时是数月或数年)内不被发现。

  3. 有针对性的方法:APT 专注于高价值目标,如政府机构、关键基础设施和拥有敏感数据的大型公司。

APT 攻击的阶段

为清楚起见,以下是以表格格式显示的信息:

如何使用威胁情报查询工具追踪高级持续性威胁(APT)

使用的技术

  • 鱼叉式网络钓鱼:针对性强的电子邮件,旨在欺骗个人执行恶意代码。

  • 零日漏洞利用:在补丁可用之前利用未知软件漏洞。

  • Watering Hole 攻击:感染目标群体经常访问的网站。

  • 供应链攻击:破坏第三方供应商或软件更新以渗透到目标的网络。

  • 规避策略:使用合法工具、代码混淆和反取证措施来绕过检测系统。

为什么 APT 很危险

长期影响:延长的停留时间通常为数月,使攻击者有充足的机会窃取数据或破坏作,而无需立即检测到。

高级目标:APT 通常专注于国防、金融、能源、医疗保健和技术等关键领域,这些领域的数据泄露可能会产生国家或全球后果。

资源密集型:这些攻击有大量资金和专业知识支持,因此很难用传统的安全措施来应对。

威胁情报查询的力量  

ANY.RUN的威胁情报查询:追踪APT的强大工具 

网络安全研究人员和分析师现在拥有一个强大的工具——ANY.RUN的威胁情报查询(TI Lookup),以增强其威胁狩猎能力。  

这一先进的搜索引擎允许用户查询包含大量恶意软件指标和攻击模式的数据库,利用超过40种搜索参数提取可操作的情报。  

TI Lookup专为威胁研究人员、SOC团队和安全专业人员设计,提供了关于入侵指标(IOC)、恶意软件行为和攻击方法的详细洞察。  

凭借数百万个已分析的恶意软件和网络钓鱼样本,该数据库成为检测、预防和缓解网络威胁(包括高级持续性威胁(APT))的重要资源。

TI 查找如何帮助跟踪 APT

APT41 (Wicked Panda):利用注册表项实现持久性

最近对总部位于中国的网络间谍组织 APT41 的调查显示,它使用 PowerShell 后门渗透系统。攻击链涉及修改 Windows 注册表项 (HKCUEnvironmentUserInitMprLogonScript),允许在用户登录期间执行恶意代码。此外,APT41 滥用 Microsoft 的forfiles.exe效用,能够秘密执行其有效载荷。可以使用 TI 查找查询来识别此行为:

registryKey:"HKEY_CURRENT_USERENVIRONMENT" AND registryValue:"forfiles.exe" AND threatName:"backdoor" AND registryName:"USERINITMPRLOGONSCRIPT"

如何使用威胁情报查询工具追踪高级持续性威胁(APT)按注册表键和值搜索 IOC 和事件 

分析师可以使用此搜索来识别关联的 IOC,例如文件哈希或互斥体,从而实现主动威胁检测和响应。

如何使用威胁情报查询工具追踪高级持续性威胁(APT)

MuddyWater APT:通过互斥锁跟踪后门作

与伊朗有联系的 MuddyWater APT 组织采用了一种独特的技术,在其 BugSleep 后门中使用互斥锁建立持久性。该恶意软件通常通过网络钓鱼电子邮件进行部署,然后创建互斥锁并解密其配置以连接到命令和控制 (C2) 服务器。

安全团队可以通过在 TI Lookup 中搜索这些互斥锁来检测 MuddyWater 感染:

如何使用威胁情报查询工具追踪高级持续性威胁(APT)

TI Lookup Synchronization (TI 查找同步) 选项卡中的互斥名称搜索结果 

(syncObjectName:"PackageManager" OR syncObjectName:"DocumentUpdater") AND syncObjectOperation:"Create" AND threatName:"muddywater"

通过分析与这些互斥锁相关的沙盒会话,安全团队可以进一步调查 BugSleep 的行为并识别新的恶意软件变体。

如何使用威胁情报查询工具追踪高级持续性威胁(APT)Bugsleep 后门及其行为由 ANY.RUN 沙盒

Lazarus Group:朝鲜的持续网络威胁

在最多产的 APT 组织中,据称来自朝鲜的 Lazarus 负责多次网络间谍活动。最近,该组织参与了针对技术专业人士的虚假求职面试计划,以分发恶意软件。

如何使用威胁情报查询工具追踪高级持续性威胁(APT)

使用 TI Lookup,研究人员可以通过简单的查询来监控与 Lazarus 相关的指标:

threatName:"lazarus"

此外,TI Lookup 还提供订阅功能,允许分析师在数据库中出现与特定威胁相关的新样本时收到实时通知。

使用 TI Lookup 增强威胁情报

ANY.RUN的威胁情报查询(TI Lookup)持续提供尖端的网络安全情报,使安全专业人员能够追踪、分析并应对新兴威胁。凭借详细的沙箱分析、实时更新以及广泛的威胁狩猎能力,该平台强化了跨行业的高级持续性威胁(APT)追踪与威胁缓解工作。

原文来自:cybersecuritynews.com 

原文链接: https://cybersecuritynews.com/how-to-track-advanced-persistent-threats/

原文始发于微信公众号(邑安全):如何使用威胁情报查询工具追踪高级持续性威胁(APT)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月13日16:02:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何使用威胁情报查询工具追踪高级持续性威胁(APT)https://cn-sec.com/archives/3735669.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息