怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

admin 2025年4月6日23:01:12评论2 views字数 1004阅读3分20秒阅读模式
怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

東雪蓮 Sec

读完需要

2

分钟

速读仅需 1 分钟

其实这篇文章很早之前就想写了,只不过因为可以写的内容不多,所以一直搁置着。

正好前几天看见富贵发了一个finashell 的钓鱼,于是才想起来这个题材

1、什么是 APT Hunting?

APT Hunting(高级持续性威胁狩猎) 是一种主动的网络安全防御策略,旨在通过系统化的方法,主动搜寻隐藏在网络中的高级持续性威胁(APT)活动,而不是被动依赖传统的防御手段(如防火墙、杀毒软件等)。APT 组织通常具有高度隐蔽性、长期潜伏和针对性攻击的特点,传统安全工具可能难以检测。

嗯,DickSuckDeepseek写的真好。

2、分析过程

首先看 IOC,这里借用富贵安全发现的钓鱼 IOC:finalshell.cn来进行测试

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

我们可以去微步上发现,这个 IOC 是已经被标记为钓鱼网站的,那我们今天就对这个网站进行深度的反向 Hunting,找一下这个 APT 组织的其他钓鱼网站

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

首先我们打开钓鱼网站,使用F12 大法,找一下他的下载源,发现下载源指向free.down.tw,目前微步已经标红(其实前几天是没有标红的,今天想起来写文章才发现,不得不说,确实快)

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例
怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

这下我们就搞到一个关键信息,下载站,后面其实就和咱们挖漏洞的时候的信息搜集差不多,这次我们使用360quake去搞(360 打钱!

使用 quake 搜索body:"free.down.tw" AND NOT country:"China",别问为啥筛选非 china 的网站,你搞黑灰产,不会还用腾讯云阿里云吧?

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

其实这样就能找到很多网站了,我们可以看到各种钓鱼网站,有 tg 的,v*n 的等等

这里随便找个 tg 的试一下,https://www.telegrarm.org/

这里可以看到这个钓鱼做的很仿真了,官网应该是telegram.org,这里只多了一个 r

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

后面就简单带过,拖到虚拟机跑一下,用 process hacker 抓一下网络连接,发现了 IOC:95.161.76.100,目前微步也还是未标明恶意,当然这也正常,因为确认一个反连 IOC 相对而言比较麻烦,也没办法很快定性。

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例
怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

这里我们顺便找一下正版 tg 的反连地址,这里明显看到不是同一个。

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例
    这里只是简单的搞一下,后面如果要确认IOC,需要对软件逆向分析,确认远      控流量,这就比较麻烦了。。。。

3、联系我

怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

原文始发于微信公众号(雪莲安全):怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日23:01:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   怎么通过一个IOC端了APT组织的老巢,一个针对APT溯源的简单示例https://cn-sec.com/archives/3917674.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息