利用OSINT追踪勒索组织活动

news2024/11/15 17:20:21

0X00前言


众所周知,勒索组织一直是臭名昭著的代名词。在当今网络世界上时时刻刻都存在着勒索软件的身影。正所谓,不知攻,焉知防。我们可以更据OSINT的方法,去追踪分析各大勒索组织的活动,以及状态。为应对可能的勒索攻击做好相对应的防御措施。

0X01起源


什么是勒索软件?答:勒索软件从属于恶意软件这个大类,它通过加密某些公司的高价值数据(例如:文件、文档等)。以此要挟该公司支付赎金来恢复被加密的数据。勒索软件的流程是先获得目标系统的访问权限,接着加密其中的文件,然后向公司勒索赎金(攻击者通常要求用比特币或其他加密货币的形式支付赎金)。、

什么是OSINT?答:开源情报( 即OSINT) 是一种多因素(定性、定量)方法,用于收集、分析可公开来源的数据并做出决策,以便在情报环境中使用。在情报界中,“开放”一词是指公开的、公开的来源(而不是秘密或秘密来源)。开源情报以这样或那样的名称已经存在了数百年。随着即时通信和快速信息传输的出现,现在可以从公共、非机密来源获得大量可操作和预测的情报(来源:百科)。

0X02分析


为什么是加密货币?答:由于勒索组织本身就具有跨越地域的可能,且本身收取现金的行为风险太大。于是逐渐完善的加密货币体系,成为了勒索组织眼中的心头好。又因为加密货币能安全运转,归功于区块链的四驾马车为其保驾护航。分布式存储、点对点网络(P2P)、共识机制与密码学是拉动区块链技术的四驾马车。但是,恰恰是区块链技术的共识机制导致了,我们可以通过OSINT的方法去找到勒索组织的钱包地址,根据获得的钱包地址去分析其中加密货币的流动方向,去分析勒索组织攻击的偏好和动态。

我们通过使用区块链取证解决方案,可以将 Colonial Pipeline 勒索事件的完整情况可视化,如下图所示(图片来源),其中地址之间的线条粗细根据交易值交换进行加权。它提供有组织的持续更新,以解决已知黑客和用户的归属问题,以及交易所、混合器等服务。

小提示:还可以构建桑基图来跟踪加密货币地址的资金流(桑基图(Sankey Diagram),是一种特定类型的流图,用于描述一组值到另一组值的流向)。

勒索的前提就是需要攻击者和被勒索者进行交互,这可以使得我们可以比较容易的获取勒索组织的若干信息,这也是我们选择利用OSINT追踪勒索组织活动的部分原因。OSINT收集的数据,应包括来自勒索组织攻击期间收集的任何信息。我们可以通过收集勒索页面、勒索组织名称、勒索组织公开的加密钱包地址、网络钓鱼电子邮件号码、勒索组织IP等数据,并将这些信息用作为我们分析的基础。(下图来源)

1705670523_65aa777b5c37274ac8a03.png!small?1705670523407

小提示:如果可以的话,使用多次攻击的留存数据总是比使用单次攻击留存的数据更好分析。如果没有足够的数据来进行评估,可以将时间窗口从六个月延长到一年,并且获取相同勒索组织的其他攻击留存的开源情报,进行融合交叉分析。

0X03讯息


作为勒索组织的加密货币使用和目标的一部分,观察到以下内容

勒索软件操作中的加密货币使用

加密货币在哈希租赁、自营运营中的使用

用作诱饵和武器化文档的加密货币主题

勒索组织为了防止被追踪,会对加密货币行业有一定了解。他们通常会以加密货币和加密货币相关服务为目标,使用狡猾和隐秘的技术来资助和维持自己的运营。于此同时,勒索组织会使用加密货币服务将勒索的加密货币洗成"干净"的加密货币(例如:已识别的付款方式别名和用于购买的地址使用哈希租赁云挖矿服务等 ),这大大加大了我们追踪的难度。

我们通过Conti这个勒索组织的聊天内容,发现了不少有关其内部结构和层次结构的信息。Conti组织拥有许多与合法中小型企业相同的业务部门,包括负责不断面试潜在新员工的人力资源部门。并且还拥有自己独立的预算、员工时间表等。

编码员:受雇编写恶意代码、集成不同技术的程序员。 测试员:负责针对安全工具测试 Conti 恶意软件并对其进行混淆的工作人员。 管理员:负责设置、拆除服务器和其他攻击基础设施的工作人员 渗透测试员:负责与企业安全团队作战以窃取数据和植入勒索软件的人。

通过以上人员安排的泄露,我们可以通过姓名、邮箱、域名等设置黑名单,可以抵挡一部分较弱的勒索攻击。于此同时,建立属于公司特点的威胁情报库。为了建设好我们所需要的情报库,我们需要以下OSINT工具的"支援"。

0X04支援


Maltego

Maltego是用于开源情报和取证的专业软件,它通过出色的图形显示使复杂的开源情报变得简单。利用Maltego我们可以非常方便的可视化开源情报收集的开源信息。例如:域名、IP 地址、邮箱、银行帐号等等……

UserSearch

1705670572_65aa77acd0f40e8723242.png!small?1705670572442

UserSearch 是最大的免费在线反向查找工具。它是网络上存在的一个庞大的搜索引擎网络,可以精确定位用户名或电子邮件地址。它不仅有详尽的服务列表,例如电子邮件查找、论坛用户、加密网站用户、约会网站查找,还可以分析网页并提取该页面上的所有电子邮件。

Mitaka

Mitaka不仅可以用于查找 IP、MD5、ASN 和比特币地址。还可以用于识别恶意软件、确定电子邮件地址的可信度以及查找 URL 是否与错误相关。我们通过选择我们认为可能可疑的某些文本片段和妥协指标 (IOC),通过各种不同的搜索引擎寻找它们。

0X05措施


  1. 确保电子邮件系统得到适当的保护。可以应用发件人身份和反欺骗技术,例如发件人策略框架 (SPF)、域消息身份验证报告和一致性 (DMARC) 以及域密钥识别邮件 (DKIM)。这些电子邮件保护根据发件人 IP 和域验证电子邮件,通常应用于组织电子邮件网关或外部 DNS。它们提供针对网络钓鱼和其他欺骗威胁的保护。并且扫描服务器上所有存储的传入和传出邮件,以检测可能通过电子邮件网关或源自内部的威胁。文件完整性监控 (FIM),FIM 可以通过查看模式来帮助识别文件服务器上的文件覆盖。使用virustotal或其他多个防病毒引擎工具扫描未通过电子邮件标记为恶意的意外附件或可疑文件。

  2. 使用广告拦截技术来保护在线浏览免受恶意广告和水坑攻击。有效的网页过滤也可以提供帮助;确保电子邮件和网页浏览帐户没有管理权限,并且多个工作站之间不存在共享的本地管理员帐户。同时增加企业内部培训频次,以应对网络威胁,例如网络钓鱼、域欺骗、水坑攻击、可移动媒体、恶意广告和一般恶意软件。

  3. 禁用宏,LOCKY勒索软件主动利用Office文档中的漏洞。如果出现为您只想阅读的文档启用宏的弹出窗口,请勿单击“是”。通过启用宏,勒索软件可以在设备上执行。如果需要使用宏,请使用组策略来指定可以运行宏的文件服务器上的受信任路径。使用查看器读取从Internet下载的文件,而不是使用 Office、OpenOffice 等完整软件包。

  4. 警惕启用 Active X 控件,Active X 控件可以通过 Office 文档或网页执行勒索软件。仅当您理解并被授权使用控件时才启用控件。安装弹出窗口拦截器;禁用自动播放以防止恶意软件自动运行;禁用文件共享,这可以帮助限制勒索软件传播到其他共享网络位置。

  5. 启用 Windows 防火墙有助于阻止勒索软件木马与命令和控制服务器之间的通信。使用附加的基于主机的防火墙保护,这些工具可以与本机防火墙结合运行以增强保护。确保安装的防病毒软件保持最新状态,并根据供应商最佳实践适当配置安全功能。禁用 Windows powershell。如果可能,应使用应用程序白名单禁用或限制 powershell。Powershell 通常用于在从远程服务器下载恶意脚本之前逃避反恶意软件产品和检测。

  6. 实施网络分段可以帮助划分不同的资产组,例如按照敏感度或关键性划分,如果发生勒索软件感染,这可以帮助防止传播到其他安全区域或区域。应用程序白名单或软件限制策略可用于定义哪些程序、脚本或 DLL 可以在设备上执行。规则条件可以包括用户、组、位置、软件签名等。勒索软件可以从用户具有写入权限的临时文件夹(例如 %appdata% 文件夹)运行。如果您使用的操作系统在 Windows 中没有应用程序白名单,您可以使用软件限制策略来实现类似的目标。

  7. 维护安全备份。在某些勒索软件案例中,从备份恢复可能是唯一的选择。确保在恢复之前从受影响的端点中根除恶意软件,这可以通过重新映像或使用事件响应和反恶意软件工具来实现。避免使用在端点上有效映射驱动器的备份服务。确保在特权帐户受到损害时,备份服务器或位置不会受到损害,实现此目的的一种方法是确保您的备份与它们正在备份的设备和网络分离或分段。拥有关键数据的多个副本,并在异地存储一份副本。确保您的备份本身不会受到勒索软件的威胁。为用户实施最小权限模型,使用单独的帐户执行管理任务并实现管理员功能之间的职责分离。例如,如果特权域帐户也有权访问备份服务器或备份位置,这些帐户可以帮助提供分层防御。

0X06点评


以上就是我对OSINT的一点点个人见解,昨天意外看见了我B站视频收藏夹里的关于《使用OSINT探索朝鲜》的视频。个人就结合区块链的一些特点,联想到了利用OSINT追踪勒索组织活动的这个想法,我们可以通过对其钱包地址的分析,获取勒索组织的"基础设施",例如:勒索组织域名、勒索组织IP、勒索组织的邮箱等。于此同时我们可以通过对加密货币来源和数量的分析,更好的守护企业的安全。也能知道该勒索组织偏爱的攻击类型和勒索对象,对我们应对勒索组织勒索攻击有了巨大的底气。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

 2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2097496.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Python基础】元组类型

本文收录于 《Python编程入门》专栏,从零基础开始,分享一些Python编程基础知识,欢迎关注,谢谢! 文章目录 一、前言二、Python 元组2.1 创建特殊元组2.2 访问元组2.3 删除元组2.4 元组截取2.5 元组运算符2.6 元组内置函…

佰朔资本:9月券商金股出炉,这类股获机构力推

现在,券商新一批月度金股近期连续出炉。到9月1日,14家券商发布9月月度金股,举荐的104只金股会集分布在电子、机械设备、传媒、汽车等工作中。从个股来看,比亚迪、我国安全、阳光电源获2家以上券商共同举荐。别的,北方华…

30 静态路由

静态路由 一、配置静态路由 (一)静态路由特点 ​ 主要特点: ​ 由管理员手工配置,为单向条目通信双方的边缘路由器都需要指定,否则会导致数据包有去无回 (二)静态路由配置 ​ 使用ip rout…

开学季儿童护眼台灯怎么选择?盘点央视公布十大护眼灯!

随着年级的升高和学习内容的增加,学生的休闲娱乐时间逐渐减少,相反,他们在书桌前度过的时间却越来越多。近年来,由于电子产品的广泛使用,我国青少年的用眼负担显著增加。据权威机构预测,到2050年&#xff0…

ActiViz实战:使用vtkDistanceWidget实现两点测距功能

文章目录 一、效果图预览二、实现步骤三、C#完整实例代码一、效果图预览 二、实现步骤 1、通过vtkCellPicker拾取点坐标 2、通过vtkDistanceRepresentation2D设置起始点和结束点位置 3、通过vtkDistanceRepresentation2D的GetAxis()获取vtkAxisActor2D对象,并设置连线的样式 …

前端安全:如何防范跨站脚本攻击(XSS)

聚沙成塔每天进步一点点 本文回顾 ⭐ 专栏简介前端安全:如何防范跨站脚本攻击 (XSS)1. 引言2. 什么是跨站脚本攻击 (XSS)?2.1 XSS的分类 3. XSS攻击的危害4. XSS的常见攻击手法4.1 注入恶意脚本4.2 伪造表单和链接4.3 操纵DOM结构 5. 如何防范XSS攻击5.1…

Git使用(命令+idea快捷)

目录 一、概述 1.什么是Git 2.Git能干什么 3.简介 4.下载和安装 二、Git代码托管服务 1.常用的Git代码托管服务 2.使用码云代码托管服务 三、Git全局设置(常用命令) 1.命令 2.实现 四、获取Git仓库(常用命令) 1.两种方…

基于 cuda sdk 12.4.1安装cudnn8.9.7 步骤备忘——与cudnn9有差别

cuda环境崩了,运行 nvidia-smi后无法 连接 drvier,重装了 cuda 12.4.1 cudnn 8.9.7 因为看到pytorch daily 代码目前是支持 12.4的。发现 cudnn8 与 nv官网提供的cudnn9的安装时在文字上稍微有些差别, 主要是 cudnn8: sudo apt-get -y i…

水凝胶支架进行4D生化光定制?有啥用?快来看看!

大家好,今天我们来了解一项关于水凝胶支架的技术——4D生化光定制——《4D Biochemical Photocustomization of Hydrogel Scaffolds for Biomimetic Tissue Engineering》发表于《Accounts of Materials Research》。随着科技的发展,人们对组织工程和生物…

【C++】C++STL 揭秘:Strng背后的底层逻辑

C语法相关知识点可以通过点击以下链接进行学习一起加油!命名空间缺省参数与函数重载C相关特性类和对象-上篇类和对象-中篇类和对象-下篇日期类C/C内存管理模板初阶String使用 在上篇介绍string类的使用与理解,本篇将为大家来带关于string的底层实现逻辑&…

「SpEL Validator」使用指南(一套无敌的参数校验组件)

前言 这是一套全新的参数校验组件,并非造轮子。 看完本文你可能会觉得用不上或不屑于使用,但这玩意确实有应用场景,你不妨稍微留意一下,日后你总会发现有用得上的时候。 此乃系列文章,当前为第②篇,其他…

Puppeteer的高级用法:如何在Node.js中实现复杂的Web Scraping

概述 随着互联网的发展,网页数据抓取(Web Scraping)已成为数据分析和市场调研的重要手段之一。Puppeteer作为一款强大的无头浏览器自动化工具,能够在Node.js环境中模拟用户行为,从而高效地抓取网页数据。然而&#xf…

Java基于微信小程序的实习管理系统

简介 本次开发的实习生管理系统实现了字典管理、公告管理、公司管理、简历管理、老师管理、实习管理、实习日志管理、通知管理、学生管理、职位招聘管理、职位收藏管理、职位留言管理、简历投递管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库&am…

点云配准之ICP和NDT算法的高斯牛顿法求解

ICP算法 NDT算法 代码:https://github.com/taifyang/pointcloud-registration 参考:高翔《自动驾驶与机器人中的SLAM技术》

打造灵动空间,流动会场的声学优势—轻空间

在现代社会中,各类会议、展览、演出、培训等活动越来越多,对场地的需求也越来越多样化。传统的固定场地往往难以满足不同活动的需求,而“流动会场”凭借其灵活多变的特点,迅速成为各类活动的新宠。特别是其独特的声学优势&#xf…

【数据结构】二叉树的链式结构,二叉树的遍历,求节点个数以及高度

目录 1. 二叉树链式结构的概念 2. 二叉树的遍历 2.1 前序遍历 2.2 中序遍历 2.3 后序遍历 2.4 层序遍历 3. 二叉树的节点个数以及高度 3.1 二叉树节点个数 3.2 二叉树叶子节点个数 3.3 二叉树的高度 3.4 二叉树第k层节点个数 3.5 二叉树查找值为x的节点 4. 二叉树…

数造科技荣登“科创杯”领奖台,开启数据驱动新篇章!

8月27日,第十三届中国创新创业大赛(海南赛区)暨海南省第十届“科创杯”创新创业大赛决赛在海口圆满落幕。数造科技凭其在大数据管理领域的专业技术实力,荣获成长企业组三等奖。 突出重围,崭露头角 海南省“科创杯”创新创业大赛是在中国科技…

安科瑞ADL系列导轨式多功能电能表 带外置互感器 CE认证

产品概述: ‌安科瑞ADL系列导轨式多功能电能表‌是安科瑞企业微电网能效管理事业部推出的一款智能仪表,主要针对光伏并网系统、微逆系统、储能系统、交流耦合系统等新能源发电系统设计。这款电能表具有高精度、体积小、响应速度达100ms,以及…

噪音消除模块调研

一.原理 1.1降噪 noisereduce 库的 reduce_noise 函数使用的是一种基于频谱减法的噪声消除算法。它通过分析音频的频谱,识别出噪声成分,并尝试将这些噪声成分从音频信号中去除,从而提升信号的清晰度。 1.2 动态范围压缩(预加重&am…

Ollama:本地大语言模型解决方案

在人工智能领域,大语言模型(LLM)因其在自然语言处理上的强大能力而备受瞩目。然而,这些模型往往需要大量的计算资源和网络连接,限制了它们在本地环境的应用。Ollama 的推出,为这一问题提供了解决方案。作为…