揭露REvil勒索软件与DomainTools和Maltego

使用DomainTools转换查看马耳他最近的REvil(又名Sodinokibi)勒索软件指标集

根据最近的一项研究赛门铁克企业安全报告在美国，REvil勒索软件运营商已被发现利用Cobalt Strike扫描易受攻击的销售点系统。攻击者正在使用AWS CloudFront for C2和Pastebin的混合物来存储他们的有效负载。利用这里的合法服务使得事件响应人员很难做出反应，因为使用大量现代配置管理工具，基础设施可以在云服务上快速地建立、拆除和修改，任何数量的事情都可能迅速发生变化。然而，该报告包括了三个可以调查的IP地址，以提供更多的见解。随着勒索软件的再次崛起，进行适当的尽职调查很重要，看看在这个单一实例背后还能发现什么。我将通过利用DomainTools数据集和Maltego来可视化地绘制我的研究。

首先，报告中公布的域名和IP地址为:

虽然在报告中没有直接提到，但这有助于确定这次攻击发生的时间，以限制研究范围。由于云服务可以随时转移(实际上，自2020年1月以来，CloudFront地址已经有数百个分配)，在研究周围设置屏障将有助于将信号与噪声分开。由于这份报告是在2020年6月底发布的，所以我假设袭击发生在2020年4月之后。我选择这个日期的原因是由于作为一个安全专业人士的一些领域知识:有多个报告这表明REvil背后的团队正在利用以COVID-19为主题的诱饵，并有效地攻击医疗基础设施。我可以做一个有根据的猜测，至少有一个同事已经改变了他们的目标，因为这些诱惑的有效性正在枯竭。

在开始之前，我还要补充一点:REvil样本通常包含成千上万的域名用于C2，许多未注册和可疑的诱饵。该组织的先进之处在于，他们有一系列利用受害者的方法，并在受害者的网络中横向移动，使用了十几种工具。他们为每个攻击的组织调整他们的技术，并随着每个独特的活动而发展。如果你想要追踪REvil而不只是理解一个活动活动，那么我建议你阅读KPN优秀的帐面价值通过数百个单独的活动来追踪这个组织。如果你正在寻找一篇关于单一样本如何工作的文章，我不推荐McAfee的分析足够了．

和Iris和Maltego一起调查

首先，我将从报告中将这四个实体导入Maltego。粘贴函数在这里很好地指出了这些实体的类型。

从那里，我将运行反向查找，在DomainTools虹膜转换标记为“IP地址到域”，以获得几个域开始我们的搜索。

通过快速查看虹膜转换带来的实体详细信息，我注意到CN TLD中的域名都来自2016年及之前。因为我的时间限制了我们的调查，我只会看看末日虚空。com域名。通过远见被动DNS转换，我得到了一些在时间限制内的可疑域名。

这个域正在运行自己的名称服务器，这一点很可疑，因为名称服务器现在经常用于C2信令。veit -setfacl很有趣，因为它在setfacl中引用了一个用于设置文件访问控制列表的Linux命令，看起来是一个奇怪的错误，或者可能是一个命令错误，最终被递归解析器的被动DNS传感器拾取。除此之外，abelian-don和mil- monster子域似乎是最可疑的。再次轮询远见A记录链接到这些子域，我得到了两个新的IP地址用于这次调查。

在这两个新地址中，在我们的时间范围内唯一返回任何额外上下文的是5[.]101[.]0[。206个地址，我可以拉一个域名。]网站再次使用虹膜调查转换。该网站于2020年5月通过reg.ru注册，DomainTools风险评分为93分(满分99分)，存在恶意软件的几率很高。该算法考虑了附近的域、该域所处的基础设施以及它的历史，以确定其潜在恶意的可能性。93被认为是一个非常高的可能性从DomainTools机器学习分类器。这在一定程度上可能是由于圣彼得堡互联网网络上存在相关的IP地址，这是一家位于圣彼得堡的俄罗斯ISP，过去曾观察到恶意流量。知道REvil组织被怀疑是俄罗斯的，来自这个网络的恶意流量的高可能性，以及我们的时间框架，我可以在这个时间框架内搜索所有远见被动DNS查询集[.]vila[.]。我总共会得到四个ip地址。

不幸的是，从这里开始，除了这些IP地址与我们的原始指标在同一个网络上之外，我无法做更多的事情来将这些与其他指标或过去的报告联系起来。从这一点来看，我可以看到所有的ip都是在同一时间段内链接的，但剩下要做的就是监控恶意行为。

由于每个REvil关联和攻击都被很好地包含，并且一些实例托管在不断变化的云基础设施上，因此熟练地以某种可视形式尽快绘制攻击图并传递给领导层非常重要。利用马耳他，虹膜调查转换，和其他转换在我的处置，我可以迅速建立一个报告在马耳他出口。

了解更多关于DomainTools和Maltego的精简事件响应:

了解更多