iT邦幫忙

2022 iThome 鐵人賽

DAY 12
1
Security

威脅情資分析與挑戰系列 第 12

[Day 12] 威脅情資分析初探 (下)

  • 分享至 

  • xImage
  •  

這次我們從 observations 著手

左側 activities 列表分別代表:
analysis(分析):來自各種來源和外部參考的報告
events(事件):事件、目擊和觀察到的資料
observations(觀察):可觀察的、工件、指標和基礎設施

首先我們針對

f0d89e0cd1f8f6e27b53ae53f676aad04ca7b92e19f17867ba5e73955cd35c30

這個 IoC 進行分析

https://ithelp.ithome.com.tw/upload/images/20220916/20151201QzSfCQsu20.jpg

簡單列出上面有的資訊

  • 類型: File
  • 分數: 50/100
  • 作者: Alienvault
  • 標籤:ransomware, slam
  • 創立時間:2022/09/16
  • 修改時間: 2022/09/16

可以看到最後出現在

SLAM! ANATOMY OF A PUBLICLY-AVAILABLE RANSOMWARE BUILDER

這個情資中,看一下描述

The Slam Ransomware Builder first appeared in late 2021, with Slam ransomware payloads appearing in the wild shortly after (e.g., ConsoleApp2.exe). During mid-2022, downloadable and executable versions of the Slam Ransomware Builder appeared on a publicly-visible repository on Github and were available for several months until Github admins removed the repository on September 1st, 2022.

The owner of the now-removed repository dubbed it “The Most Advanced Free Ransomware Builder” and has a history of providing “educational” videos on Vimeo, Youtube and KZHome, instructing viewers how to build ransomware and “virus payloads”.

因此我們注意到, Slam 是個 Ransomware,把這個 Indicator 的 hash 丟到 virustotal 上。
https://www.virustotal.com/gui/file/f0d89e0cd1f8f6e27b53ae53f676aad04ca7b92e19f17867ba5e73955cd35c30
https://ithelp.ithome.com.tw/upload/images/20220916/201512019MZsdaVP6f.jpg

看掃描資料是 22 天前,被一半的防毒軟體給偵測到,
之前有一位資安分析師跟我說,
1~5個防毒有偵測到 有可能是誤判,
6~10個是我們非常感興趣的,
因為這很可能是新的惡意威脅,
九成防毒都偵測到,
就可能是過去已經出現過的威脅。

回過來這個程式名叫做ConsoleApp2.exe
跟我們從 openCTI 看到的事件一致。

回去追蹤該 IoC
我們發現該 IoC 的可信度是低的
Confidence Level 意義在於該威脅的可信程度
https://ithelp.ithome.com.tw/upload/images/20220916/20151201Jom0vBKlSi.jpg

往下觀察 IoC 的關聯性

https://ithelp.ithome.com.tw/upload/images/20220916/201512019RxVrS9oWO.jpg

我們有看到幾個類型:

  • Attack Pattern
  • Malware
  • File

Attack Pattern 描述攻擊的模式,
直接從 openCTI T1059 點進去會連到 mitre 說明頁,
https://attack.mitre.org/techniques/T1059/
這代表這個檔案可能會使用命令提示字元來操作作業系統。
還有很多這裡就不繼續往下挖。

我們看到有一筆是直接 indicate SLAM(Malwale)
點進去後會發現左邊的工具列變成 Arsenal (武器庫)

https://ithelp.ithome.com.tw/upload/images/20220916/20151201GKugHLKsrV.jpg

openCTI 會幫我們整理好 indicator 的資訊,但看起來這資料並不完全,
不過我們往下看到 Relationship 有更多不同的 IoC 與之相關。

https://ithelp.ithome.com.tw/upload/images/20220916/20151201vNo6IkScQZ.jpg

預覽一下 Slam 的資訊
OpenCTI 共捕捉到一個 OSINT 與 11 個 IoC、六個 Attack Pattern

https://ithelp.ithome.com.tw/upload/images/20220916/20151201iQMjlyWheU.jpg

雖然下面有時間軸,但都同一時間上傳的,所以時間都ㄧ樣。
這邊要來補充一下資料,
例如我們從上面的 IoC 看到他有 T1059 這個 Attack Pattern

我們把他加入 Slam 的 Attack Pattern 之中,
https://ithelp.ithome.com.tw/upload/images/20220916/2015120122Nk4yRkh1.jpg

這樣我們就建立好一個關係
https://ithelp.ithome.com.tw/upload/images/20220916/20151201Xv75CfBmOg.jpg

小結

明天我們利用一些 OSINT 搜集工具提取一些資料,
然後匯入 OpenCTI 看看。


上一篇
[Day 11] 威脅情資分析初探 (上)
下一篇
[Day 13] 威脅情資收集 - CVE Trends
系列文
威脅情資分析與挑戰15
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言