東雪蓮 Sec
读完需要
分钟
速读仅需 1 分钟
其实这篇文章很早之前就想写了,只不过因为可以写的内容不多,所以一直搁置着。
正好前几天看见富贵发了一个finashell 的钓鱼,于是才想起来这个题材
1、什么是 APT Hunting?
APT Hunting(高级持续性威胁狩猎) 是一种主动的网络安全防御策略,旨在通过系统化的方法,主动搜寻隐藏在网络中的高级持续性威胁(APT)活动,而不是被动依赖传统的防御手段(如防火墙、杀毒软件等)。APT 组织通常具有高度隐蔽性、长期潜伏和针对性攻击的特点,传统安全工具可能难以检测。
嗯,DickSuckDeepseek写的真好。
2、分析过程
首先看 IOC,这里借用富贵安全发现的钓鱼 IOC:finalshell.cn来进行测试
我们可以去微步上发现,这个 IOC 是已经被标记为钓鱼网站的,那我们今天就对这个网站进行深度的反向 Hunting,找一下这个 APT 组织的其他钓鱼网站
首先我们打开钓鱼网站,使用F12 大法,找一下他的下载源,发现下载源指向free.down.tw,目前微步已经标红(其实前几天是没有标红的,今天想起来写文章才发现,不得不说,确实快)
这下我们就搞到一个关键信息,下载站,后面其实就和咱们挖漏洞的时候的信息搜集差不多,这次我们使用360quake去搞(360 打钱!
使用 quake 搜索body:"free.down.tw" AND NOT country:"China",别问为啥筛选非 china 的网站,你搞黑灰产,不会还用腾讯云阿里云吧?
其实这样就能找到很多网站了,我们可以看到各种钓鱼网站,有 tg 的,v*n 的等等
这里随便找个 tg 的试一下,https://www.telegrarm.org/
这里可以看到这个钓鱼做的很仿真了,官网应该是telegram.org,这里只多了一个 r
后面就简单带过,拖到虚拟机跑一下,用 process hacker 抓一下网络连接,发现了 IOC:95.161.76.100,目前微步也还是未标明恶意,当然这也正常,因为确认一个反连 IOC 相对而言比较麻烦,也没办法很快定性。
这里我们顺便找一下正版 tg 的反连地址,这里明显看到不是同一个。
3、联系我
原文始发于微信公众号(雪莲安全):怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论