本周《绝命毒师》即将播出。今天我们将讨论:有效的目标了,0 ktapus的花园,和两个真相和一个谎言
以下是我们讨论过的每篇文章中的一些亮点:
有效的目标了
- 朝鲜的“Kimsuky”威胁行为者正在竭尽全力确保他们的恶意载荷只被有效的目标下载,而不是安全研究人员的系统
- 从市场营销的角度来看,Kimsuky明白这一点——追逐最有效的目标是很好的商业意义
- Kimsuky是一个由朝鲜政府支持的威胁组织
- 根据CISA的说法,他们大约从2012年开始就存在了,他们的主要目标是收集情报
- 他们的目标是智库、政府组织,甚至是他们认为拥有高价值情报的个人
- “有效”对Kimsuky来说意味着什么?
- 他们的主要目标是韩国、日本和美国
- 通常,他们跟踪的对象包括政客、外交官、大学教授和记者,这些人都是鱼叉式钓鱼活动的受害者
- 现在,我们不知道他们到底是如何决定追踪哪些特定的人,但大概他们的人会花很多精力研究谁会成为一个好目标
- 他们的主要目标是韩国、日本和美国
- 正如上面提到的,Kimsuky通过鱼叉式网络钓鱼来实施他们的计划,就像经常发生的那样,邮件中包含了一个链接
- 但有趣的是:潜在的受害者从这个链接中真正得到的信息取决于他们是否是列表上的目标之一
- 该链接连接到C2服务器,该服务器检查一些参数,如收件人的电子邮件地址,他们的操作系统,它也上传一个文本文件。然后第二阶段进行额外的验证,检查他们的IP地址。所以在这里,有一些逻辑决定它是否是一个有效的受害者。如果是,它会下载恶意文档;如果不是,它会下载一个良性的。聪明!
- 金苏基说了很多"如果"和"那么"的话,但目前为止,我们还不知道那份对非受害者无害的文件是什么样子
- 但是,即使卡巴斯基指出这些博客是无害的,他们仍然破坏了这些博客的url,而且我们没有一台虚拟机来查看它们
- 卡巴斯基的工作人员无法得到最终的有效载荷,因为他们无法模仿被认为是有效受害者的参数
- 这表明该方案非常有效,因为我们认为卡巴斯基的团队很擅长欺骗受害者
- 因为它的有效性,如果我们看到更多这样的例子,我们不会感到惊讶
0 ktapus的花园
- 多因素身份验证通常被认为是一种很好的安全方法,但Group-IB分享的研究显示,当它被不良行为者拦截时会发生什么
- 这次袭击是从阴凉处开始的!但认真地说,大约在3月份的某个时候,Oktapus开始建立针对公司okta实例的域名,并使用mailgun-okta[等新域名建立其他单点登录机制。com和okta-tmobiie。org
- 我们可以看到,从6月8日左右开始,这些域出现了一个大的上升,并在6月13日第一次活跃地进入我们的雷达-伊恩在Lapsus入侵后在虹膜检测中设置了一个okta监视器,但没有检查,所以他可以让它浸泡一点
- 当他在13日检查它时,很明显,一场针对okta实例的协调行动正在一系列不同的公司和行业中进行,但主要集中在以服务为中心的公司(mailchimp、hubspot)加密货币公司和T-Mobile等电信公司
- 我们当时特别关注T-Mobile领域,你可以在at-securitysnacks把情报泄露出去的账号
- 一旦被网络钓鱼,一些远程管理设备就会被交付,同时还会有信息窃取恶意软件向特定的Telegram频道报告。通过对Group-IB的监控,我们可以很聪明地分辨出谁的证书被钓鱼了
- 公开地说,我们还不知道谁是幕后主使
- Group-IB做了一些实质性的侦查工作,使他们找到了一个主要参与者的可能身份,但这个身份还没有公布
- 考虑到一些最初的分析指向了一个不太老练的演员,看看结果会是什么很有趣,但他们如此快速地通过Twilio转移的能力,以及他们特别针对记者的目标,可能会说明相反的情况
- 这次袭击的目标按部门有很详细的分类
- 软件公司占53%,电信公司占22%,商业服务公司占21%。在此基础上进一步细分到金融、教育、零售等领域
- 最大的焦点肯定是软件、电信和商业服务,不只是直接破坏它们,而是作为整个瀑布,早期的妥协为进一步下游的黑客创造了机会
- 我们才刚刚开始看到这次袭击的影响
- 到目前为止,真正成功的是Twilio——一种帮助认证方法的服务,包括发送一次性密码的文本信息
- 这位演员能够拦截多个服务的一次性数据,包括加密消息应用Signal——事实上,至少有一名记者已经站出来说,他的Signal账户可能是这次黑客入侵的结果,被接管了14个小时
- 我们也看到了Cloudflare的后续影响,就在今天,DoorDash发表了一份承认妥协的声明
- 缓解这种情况的建议
- 伊恩听起来像个工作狂,但他确实乐动体育官网下载线程每个周一左右,他都会在推特上发布一些看起来可疑的域名,这些域名花了半小时或一个小时的时间,汇集了他喜欢关注的一大堆公司和行业
- 一个公司可以很容易地用一套乐动体育 商城 每周监测一两个小时——这是侦查和调查协调的简单按钮选项。您还可以接近源代码并像Aaron Gee-Clough建议的那样做,从Verisign获得访问。com、。net和。org zonfile的权限,并进行每日的分类——不幸的是,这并没有涵盖很多不发布区域文件的顶级域
- 但长话短说,如果你建立并测试自己的监控,你就会发现针对你的资产和服务的活动突然出现,你就可以以更及时和更精确的方式做出回应,包括警告你的员工和用户基础,删除请求,以及进一步调查以确定不良行为者
- 另一种有效的缓解方法是在你的品牌和软件周围预先注册域名,例如,如果Ian是T-Mobile,在一堆顶级域名中注册Okta和tmobile的组合,让坏人更难注册和使用可信的域名
- 自从0ktapus的细节发布以来,我们看到越来越多的公司在okta和类似的地方进行先发制人的注册,所以他们从一开始就控制这些注册
- 几个月来,我们也看到Twitter在做类似的事情——主动注册大量与Twitter相关的支持/帮助/安全域,以防止恶意分子使用这些域。但这是一个打地鼠的过程,因此监控尤为重要
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
有效的目标了
(Ian):7/10的连帽衫
(Tim):1/10的连帽衫
0 ktapus的花园
(Ian):5/10的连帽衫
(Tim):6/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
