2014年11月23日 星期日

---"This is published by * Recorded Future * --- ** find the trouble of international oil companies recorded a future Maltego transform ** = publisher = * Dan - (15 October 2014 threat intelligence network) - you must cognitive ~ "- ---"這篇由*Recorded Future*發佈的---**發現沙蟲國際石油公司錄未來Maltego變換**=發布者= *丹·--(10月15日2014年 網絡威脅情報)-你們一定要認知~"- ---"이것은 * 녹화 미래에 의해 게시 * --- ** 국제 석유 회사의 문제를 찾아 미래 Maltego이 ** = 게시자를 변환 기록 = * 단 - (2014년 10월 15일 위협 정보 네트워크) - 당신이인지해야합니다 ~ "- ---"Ce est publié par * futurs comptabilisés * --- ** trouver la peine de compagnies pétrolières internationales a enregistré un avenir Maltego transformer ** == * éditeur Dan - (15 Octobre 2014 réseau Threat Intelligence) - vous devez cognitives ~ »- **USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-

Recorded Future
---"This is published by * Recorded Future * --- ** find the trouble of international oil companies recorded a future
Maltego transform ** = publisher = * Dan - (15 October 2014 threat intelligence network) - you must cognitive ~ "-
---"這篇由*Recorded Future*發佈的---**發現沙蟲國際石油公司錄未來Maltego變換**=發布者= *丹·--(10月15日2014年 網絡威脅情報)-你們一定要認知~"-
---"이것은 * 녹화 미래에 의해 게시 * --- ** 국제 석유 회사의 문제를 찾아 미래 Maltego이 ** = 게시자를 변환 기록 = * 단 - (2014년 10월 15일 위협 정보 네트워크) - 당신이인지해야합니다 ~ "-
---"Ce est publié par * futurs comptabilisés * --- ** trouver la peine de compagnies pétrolières internationales a enregistré un avenir Maltego transformer ** == * éditeur Dan - (15 Octobre 2014 réseau Threat Intelligence) - vous devez cognitives ~ »-
**USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-
*

모든 Microsoft Windows 버전에 영향을 SandWorm 팀 제로 일 - NATO, 유럽 연합 (EU), 통신 및 에너지 부문 대상 러시아어 사이버 스파이 캠페인에 사용

UPDATE - 10/21/14

Sandworm 팀의 우리의 공개 지난 주 이후, CVE-2014-4114 제로 데이 (Zero-day)를 사용하고 사이버 스파이 사업자, 지역 사회에서 다른 사람에 의해 우수한 작품은 자신의 행동의 측면을 새롭게 조명 한 우리는 이전에 몰랐다. 우리는 여전히 타겟팅, 악성 코드, 혁신적인 명령 및 제어 방법으로이 캠페인의 새로운면을 폭로하고 있지만 아마도 가장 당황 중요한 인프라를 실행하는 소프트웨어에 대한 관심이다.
우리는 여전히 더 많은 정보를 폭로하고 있습니다하지만 당신은 할 수 있습니다 - 우리는 SCADA 시스템 타겟팅의 새로운 내용을 가지고 여기에 이러한 내용을 읽어
————————————————————————————————————————————————————————–
지난 주 (2014년 10월 16일 (목요일))를 iSIGHT 파트너는 Sandworm 팀 공개를 둘러싼 모든 이해 관계자에게 브리핑을 개최 - 당신이의 온 디맨드 버전에 액세스 할 수 있습니다 여기에 브리핑을 .
또한 - 기록 된 미래의 팀 모자 팁 - Sandworm 팀의 IOC의 발견을 보여주는 작품의 흥미로운 부분이 미래 Maltego되는 TO 기록하여 ... 여기에 자신의 작품을 확인

원래의 게시물

2014년 10월 14일 (화요일)에,를 iSIGHT 파트너 - 긴밀한 협력 마이크로 소프트와 함께 - Microsoft Windows 및 2008 년과 2012 년 지원되는 모든 Windows Server 버전에 영향을 미치는 제로 데이 취약점의 발견을 발표했다.
CVE-2014-4114 - 마이크로 소프트는 14 일 패치 업데이트의 일부로 사용할 수있는이 취약점에 대한 패치를하고있다.
이 취약점을 악용는를 iSIGHT 파트너는 러시아에 속성 사이버 스파이 캠페인과 관련하여 야생에서 발견되었다.

눈에 보이는 대상

이 캠페인에 대한 가시성은 다음과 같은 도메인에서 대상을 나타냅니다. 그것은 그 가시성이 제한되어주의하는 것이 중요하며, 폭 넓은이 제로 데이 (Zero-day)를 사용하여이 그룹 (잠재적으로 다른 위협 배우)에서 대상을 유발할 수있는 위험이 있음.
  • NATO
  • 우크라이나 정부 기관
  • 서유럽 정부 기관
  • 에너지 분야의 기업 (특히 폴란드)
  • 유럽​​의 통신 회사
  • 미국 교육 기관
iSIGHT_Partners_sandworm_targets_13oct2014
추가 정보 기술 지표 / 요청
이 캠페인의 높은 수준의 세부 사항 - 그 뒤에 배우를 iSIGHT의 평가를 포함하여 - 아래 찾을 수 있습니다. 자세한 내용은 동부 오후 2시 목요일 10 월 16 일에 관심있는 자에게 브리핑에서 제공 한 - 당신은의 주문형 버전에 액세스 할 수 있습니다 여기에 브리핑을 .
지표의 포함 - - 공식적인 심사 과정을 통해이 캠페인에 자신의 노출을 결정하는 조직을 지원하기를 iSIGHT 사용할 수 광범위한 기술 보고서를 만들고있다.
전체 기술 보고서를 요청하려면,이 따르십시오 링크를 하고 필요한 정보를 완료합니다. 업무용 전자 메일과 전화 및 보고서를 공개하기 전에 해당 자격 증명을 확인하기 위해 연락을 수를 iSIGHT을 포함하여 전문 자격 증명을 제공 할 필요가 있습니다.
이 공개에 관한 미디어 관련 문의 사항이있는 경우, 703.994.9349 또는 이메일을 보내를 iSIGHT에 문의하시기 바랍니다 isightpartners@okco.com .

Sandworm에 높은 수준의 - 사이버 간첩 캠페인은 러시아에 기인

우리 정상의 일환으로 사이버 위협 인텔리전스 작업,를 iSIGHT 파트너의 성장 드럼 비트 추적 사이버 간첩 러시아의 밖으로 활동.
우리는 적극적으로 다른 임무, 목표와 공격 기능을 여러 침입 팀을 모니터링하고 있습니다. 우리는 적어도 다섯 별개의 침입 팀이 활성화 캠페인을 추적하고 있습니다.
예를 들어, 우리는 최근 주변 사람들 팀 (별명 차르 팀) 중 하나의 활동이 개시 모바일 악성 코드의 사용을 . 이 팀은 이전에 미국을 대상으로 캠페인과 유럽 정보 사회, 군사, 방위 산업체, 언론 기관, 비정부기구 및 다자기구를 출시했다. 또한 체첸에서 지하드와 반군을 목표로하고있다.
우리를 iSIGHT 명령 및 제어 URL과 다양한 악성 코드 샘플의 고전 공상 과학 시리즈 모래 언덕에 인코딩 된 참조의 사용을 기반으로 'Sandworm 팀'새로 녹음 한 다른 침입 팀이 특정 사이버 스파이 캠페인을 탓한다.
팀은 이전에 F - 시큐어, 세부에 의해 Quedach로 언급 된 2014년 9월이 캠페인의 요소를 하지만 활동의 작은 구성 요소를 캡처 세부 사항에 제로 데이 취약점의 사용을 실패했습니다.
를 iSIGHT 파트너는 2013 년 말에서 2014 년에 걸쳐 Sandworm 팀의 활동을 모니터링되었습니다 -이 팀의 기원은 2009 년 주위에 나타납니다 팀은 스피어 피싱 피해자를 대상으로 악성 문서 첨부 파일의 사용을 선호한다. 관찰 미끼의 대부분은 러시아와 우크라이나의 갈등과 러시아에 관련된 광범위한 지정 학적 문제로 특정되어왔다. 이 팀은 최근에 여러 사용 BlackEnergy의 크라임웨어, 동시에 두 개의 알려진 취약점이 새로 관찰 된 마이크로 소프트 윈도우 제로 데이 (zero-day)만큼의 착취의 사용을 포함 트랩 방법의 목표를 악용하고있다.
Sandworm의 타겟팅에 일부 연대기 세부 사항 ...
  • 나토 동맹은 제로 데이 (zero-day) 이외의 공격으로 2013년 12월 조기 타겟이되었다
  • GlobSec 참가자들은 제로 데이 (zero-day) 이외의 공격 2014 월에 대상이되었다
  • 2014년 6월
    • 브로드 특정 서유럽 정부에 대한 목표
    • CVE-2013-3906를 이용하여 폴란드 에너지 회사의 타겟팅
    • 회사에 Base64로 인코딩 된 참조로 구성된 BlackEnergy 변형을 사용하여 프랑스 통신 회사의 타겟팅
Sandworm 팀을 추적하면서 8 월 말,,를 iSIGHT는 우크라이나 정부 및 하나 이상의 미국 기업을 대상으로 스피어 피싱 캠페인을 발견했다. 특히, 이러한 스피어 피싱 공격은 웨일즈에서 열린 우크라이나의 나토 정상 회담와 일치.
9 월 3 일, 우리의 연구 및 실험실 팀은 스피어 피싱 공격의 Microsoft Windows (XP가 영향을받지 않습니다) 및 Windows Server 2008 및 2012의 지원되는 모든 버전에 영향을 미치는 제로 데이 취약점의 착취에 의존 파워 포인트 문서를 무기화 발견 이 공격에서 관찰되었다.
우리가이 캠페인에 exfiltrated 된 어떤 데이터에없는 관찰 내용을 가지고 있지만,이 제로 데이 취약점의 사용은 사실상 대상으로 그 실체가 모두 어느 정도의 희생양 보장합니다.
우리는 즉시 대상 기관, 여러 정부와 민간 부문 도메인에서 우리의 고객을 통보하고이 캠페인을 추적하고 제로 데이 취약점에 대한 패치를 개발하기 위해 마이크로 소프트와 작업을 시작했다.
iSIGHT_Partners_sandworm_timeline_13oct2014

마이크로 소프트와 협력, 우리는 다음을 발견했다 :

  • 노출 위험한 방법 취약점이 Microsoft Windows 및 서버의 OLE 패키지 관리자에 존재
    • 윈도우 8.1에 비스타 SP2에서 Windows 운영 체제의 모든 버전에 영향을 미치는
    • 충격을 가하는 윈도우 서버 2008 버전과 2012
  • 악용 경우 취약점으로 인해 공격자가 원격으로 임의의 코드를 실행할 수 있습니다
  • Windows가 OLE 포장기 (포장기 .DLL)를 다운로드하고 INF 파일을 실행할 수 있기 때문에 취약점이 존재합니다. 관찰의 경우 특히 마이크로 소프트 파워 포인트 파일을 처리 할 때, 악용, 꾸러미를 포장 OLE 객체가 신뢰할 수없는 출처에서 이러한 INF 파일과 같은 임의의 외부 파일을 참조 할 수 있습니다.
  • 이는 참조 된 파일은 INF 파일의 경우에 다운로드되게되며, 특정 명령으로 실행될
  • 공격자는 임의의 코드를 실행하기 위해이 취약점을 악용 할 수 있지만 구체적으로 조작 된 파일을 필요하고 사용자가 열도록 유도 (이 캠페인에서 관찰) 사회 공학적 방법을 사용

협정 공개

지난 5 주 동안,를 iSIGHT 파트너 추적하고 야생에서이 취약점의 악용을 감시, 취약점 및 패치의 개발의 분석을 지원하기 위해 기술 정보를 공유하고, 폭 넓은 보안에 공개를 조정하기 위해 마이크로 소프트와 긴밀히 협력 지역 사회.
엄청난 사용자 수에 영향을 미칠 수있는 잠재력을 가진 - - 취약점의 영향을 모든 버전의 Microsoft Windows 있지만 우리의 추적에서 그것의 존재가 거의 알려져 있음을 표시하고 착취는 Sandworm 팀 예약되었습니다.
영향을받는 당사자가 통보 된 점을 감안하고 우리는 팀의 명령 및 제어 인프라에 우리의 가시성을 기반으로 악용, 우리는 시간에 패치의 가용성에 대한 공개를 선출의 주요 서지 / 넓은 전파를 목격하지 않았다. 이 타이밍은 다른 나쁜 배우들이 취약점을 활용할 가능성을 최소화 할 수 있습니다.
우리가 큰 변화를 목격 한 경우, 마이크로 소프트와 파트너를 iSIGHT 모두 패치의 사전에이 정보를 공개 할 준비가되어 있었다.
이 패치의 적용은 위협 배우 커뮤니티에서이 사이버 스파이 팀과 다른 사람들이 더 착취의 가능성 주어진 인간적으로 가능한 한 빨리 수행해야합니다.
패치 과정이 당신의 회사를 위해 전개하는 동안 이러한 해결 방법은 착취의 위험을 완화해야 - 마이크로 소프트는 공지의 일부로 취약점에 대한 해결 방법의 목록을 자세히 설명한다.

기술적 지표에 대한 요청

이 블로그의 시작 부분에 언급 한 바와 같이,를 iSIGHT는 노출을 분석하는 기관을 지원하기 위해 심사 과정을 통해 모든 이해 관계자에 대한 손상의 지표를 제공하고 있습니다. 기술 보고서를 클릭를 요청하려면 여기를 .



 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

Discovering Sandworm IOCs With Recorded Future Maltego Transforms

 Posted by on October 15, 2014 in Cyber Threat Intelligence
 Sandworm Vulnerability
 Yesterday, iSIGHT Partners published a blog post announcing the discovery of CVE-2014-4114 , a zero-day vulnerability used in a Russian cyber-espionage campaign. The campaign was dubbed Sandworm and it's getting a ton of attention via social media as seen in the Recorded Future timeline below.
Sandworm Social Media Timeline
Click image for larger view
I recently outlined how to use Recorded Future Maltego transforms to discover indicators of compromise (IOCs) from OSINT so I decided to analyze the Sandworm vulnerability with a similar approach.

Step-by-Step Outline

First, I search for the single vulnerability entity (CVE-2014-4114) mentioned in the iSIGHT report.
Sandworm Maltego Analysis
Then I run our VULN2RF transform to see what Recorded Future “knows” about this CVE.
Sandworm Maltego Analysis
As expected, I get high recall on this query in Recorded Future. So for the purpose of this example, I'll set my Maltego slider value to 255 in order to limit the number of Recorded Future entities returned in my graph.
Sandworm Maltego Analysis
Now that I have a nice set of Recorded Future entities to work with, my next step is to hunt for IOCs. So I don't flood my graph, I first search for hash values associated with malicious executables being used in the Sandworm campaign. To do that I run my RF2HASH transform.
Sandworm Maltego Analysis
Within seconds, I see a hash entity returned in my graph. It appears to be extracted from several tweets published today.
Sandworm Maltego Analysis
To validate this hash is relevant to my investigation, I quickly confirmed with VirusTotal the hash is in fact malicious.
Note: The hash was just analyzed three hours ago from the time I ran the query indicating the potential for this to be a fresh IOC that others may not be paying attention to yet.
Sandworm VirusTotal Results
Now I want to actually view one of the tweets that contained the hash. I can do this from within Maltego.
Sandworm Maltego Analysis
I find an interesting tweet referring to the hash. The tweet confirms its association with the CVE and the Twitter user claims to have a live sample of malicious code along with an embedded PowerPoint presentation written in Ukrainian language.
Sandworm Hash Tweet
My next step is to see if I can extract from Recorded Future any known malware signatures associated with this campaign. I use the RF2MALSIG transform to do this.
Sandworm Maltego Analysis
The transform returns three signatures.
Note: There are probably more but we limited our slider value to 255, so bear in mind this is a sample set of data for the purpose of this example.
Sandworm Maltego Analysis
Next, I would like to see if I can extract any known C&C or other malicious IP addresses. To do this I run the RF2IP transform.
Sandworm Maltego Analysis
Next, I want to validate the IP address from the tweet using a simple VirusTotal query and, sure enough, I observe it has been associated with malicious activity as recently as this morning! Possibly a C2?
Sandworm VirusTotal Results
Zooming in, we find some great indicators for a story that's just breaking today. I'm sure more IOCs will soon start popping up and I only need to re-run my Recorded Future transforms to discover them.
Sandworm Maltego Analysis
So as with any Maltego investigation, we could continue running transforms and expanding our graph. For the purpose of this outline, we'll stop here since I have enough information to execute some proactive measures in my security operation. Having done my research in Maltego I can now put together a timeline in Recorded Future referencing the IOCs I found.
Sandworm IOCs Timeline
Click image for larger view
So what are my next steps?
  1. I have a few IOCs I can use to create detection content in my SIEM or other network security monitoring platforms.
  2. I can use these IOCs as search criteria internally against my logs or packets to see if I find any indication Sandworm has infected my network.
  3. I have one known bad IP address (so bad it was apparently removed from Twitter) I can immediately block.
  4. I can plug in the IOCs I discovered to my additional third-party or homegrown Maltego transforms and continue my analysis.
This table summarizes the relevant IOCs I was able to extract in just a few clicks.
Hash 330e8d23ab82e8a0ca6d166755408eb1
IP Address 94[.]185[.]85[.]122
Malware Signatures Trojan.Mdropper
Backdoor.Lancafdo.A
Warning: Do not click or connect directly to this IP.
Happy hunting!

See These Maltego Transforms in Action

I recently presented a live demo of the Maltego transforms used in this analysis. I encourage you to grab the recording and watch firsthand how public web sources can help you uncover IOCs.
 ========================
  announcing the discovery of CVE-2014-4114

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign

 iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign

SandWorm Team Zero-day impacting all versions of Microsoft Windows – used in Russian cyber-espionage campaign targeting NATO, European Union, Telecommunications and Energy sectors

UPDATE – 10/21/14

Since our disclosure last week of Sandworm Team, the cyber espionage operators who were using the CVE-2014-4114 zero-day, excellent work by others in the community has shed new light on aspects of their behavior we were previously unaware of. We are still uncovering new facets of this campaign, such as targeting, malware, and innovative command and control methods, but perhaps most disconcerting is their interest in the software which runs critical infrastructure.
We have new details of SCADA system targeting – we are still uncovering more information but you can read these details here
————————————————————————————————————————————————————————–
Last week, (Thursday, October 16, 2014) iSIGHT Partners held a briefing to any interested parties surrounding the Sandworm Team disclosure – you may access the on-demand version of that briefing here .
ALSO – a hat-tip to the team at Recorded Future – an interesting piece of work showing discovery of Sandworm Team IOCs using Recorded Future Maltego transforms… check their piece here

Original Post

On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.
Microsoft is making a patch for this vulnerability available as part of patch updates on the 14th – CVE-2014-4114.
Exploitation of this vulnerability was discovered in the wild in connection with a cyber-espionage campaign that iSIGHT Partners attributes to Russia.

Visible Targets

Visibility into this campaign indicates targeting across the following domains. It is critical to note that visibility is limited and that there is a potential for broader targeting from this group (and potentially other threat actors) using this zero-day.
  • NATO
  • Ukrainian government organizations
  • Western European government organization
  • Energy Sector firms (specifically in Poland)
  • European telecommunications firms
  • United States academic organization
iSIGHT_Partners_sandworm_targets_13oct2014
Requests for Technical Indicators / For More Information
High level details of this campaign – including iSIGHT's assessment of the actors behind it – can be found below. Further information was provided in a briefing to any interested parties on Thursday, October 16th at 2:00 pm eastern – you may access the on-demand version of that briefing here .
To support organizations in determining their potential exposure to this campaign, iSIGHT is making available a broader technical report – inclusive of indicators – through a formal vetting process.
To request the full technical report, please follow this link and complete the necessary information. Note that you will need to provide professional credentials including work email and telephone and that iSIGHT may contact you to verify those credentials prior to releasing the report.
If you have a media related inquiry regarding this disclosure, please contact iSIGHT at 703.994.9349 or by sending email to isightpartners@okco.com .

High Level on Sandworm – Cyber Espionage Campaign Attributed to Russia

As part of our normal cyber threat intelligence operations, iSIGHT Partners is tracking a growing drum beat of cyber espionage activity out of Russia.
We are actively monitoring multiple intrusion teams with differing missions, targets and attack capabilities. We are tracking active campaigns by at least five distinct intrusions teams.
For example, we recently disclosed the activities of one of those teams (dubbed Tsar team) surrounding the use of mobile malware . This team has previously launched campaigns targeting the United States and European intelligence communities, militaries, defense contractors, news organizations, NGOs and multilateral organizations. It has also targeted jihadists and rebels in Chechnya.
We are attributing this particular cyber-espionage campaign to a different intrusion team that iSIGHT has dubbed 'Sandworm Team' based on its use of encoded references to the classic science fiction series Dune in command and control URLs and various malware samples.
The team has been previously referred to as Quedach by F-Secure, which detailed elements of this campaign in September 2014 but only captured a small component of the activities and failed to detail the use of the zero-day vulnerability.
iSIGHT Partners has been monitoring the Sandworm Team's activities from late 2013 and throughout 2014 – the genesis of this team appears to be around 2009. The team prefers the use of spear-phishing with malicious document attachments to target victims. Many of the lures observed have been specific to the Ukrainian conflict with Russia and to broader geopolitical issues related to Russia. The team has recently used multiple exploit methods to trap its targets including the use of BlackEnergy crimeware, exploitation of as many as two known vulnerabilities simultaneously, and this newly observed Microsoft Windows zero-day.
Some chronological details on Sandworm's targeting…
  • The NATO alliance was targeted as early as December 2013 with exploits other than the zero-day
  • GlobSec attendees were targeted in May of 2014 with exploits other than the zero-day
  • June 2014
    • Broad targeting against a specific Western European government
    • Targeting of a Polish energy firm using CVE-2013-3906
    • Targeting of a French telecommunications firm using a BlackEnergy variant configured with a Base64-encoded reference to the firm
In late August, while tracking the Sandworm Team, iSIGHT discovered a spear-phishing campaign targeting the Ukrainian government and at least one United States organization. Notably, these spear-phishing attacks coincided with the NATO summit on Ukraine held in Wales.
On September 3rd, our research and labs teams discovered that the spear-phishing attacks relied on the exploitation of a zero-day vulnerability impacting all supported versions of Microsoft Windows (XP is not impacted) and Windows Server 2008 and 2012. A weaponized PowerPoint document was observed in these attacks.
Though we have not observed details on what data was exfiltrated in this campaign, the use of this zero-day vulnerability virtually guarantees that all of those entities targeted fell victim to some degree.
We immediately notified targeted entities, our clients across multiple government and private sector domains and began working with Microsoft to track this campaign and develop a patch to the zero-day vulnerability.
iSIGHT_Partners_sandworm_timeline_13oct2014

Working with Microsoft, we discovered the following:

  • An exposed dangerous method vulnerability exists in the OLE package manager in Microsoft Windows and Server
    • Impacting all versions of the Windows operating system from Vista SP2 to Windows 8.1
    • Impacting Windows Server versions 2008 and 2012
  • When exploited, the vulnerability allows an attacker to remotely execute arbitrary code
  • The vulnerability exists because Windows allows the OLE packager (packager .dll) to download and execute INF files. In the case of the observed exploit, specifically when handling Microsoft PowerPoint files, the packagers allows a Package OLE object to reference arbitrary external files, such as INF files, from untrusted sources.
  • This will cause the referenced files to be downloaded in the case of INF files, to be executed with specific commands
  • An attacker can exploit this vulnerability to execute arbitrary code but will need a specifically crafted file and use social engineering methods (observed in this campaign) to convince a user to open it

Coordinated Disclosure

Over the past 5 weeks, iSIGHT Partners worked closely with Microsoft to track and monitor the exploitation of this vulnerability in the wild, share technical information to assist in the analysis of the vulnerability and the development of a patch, and coordinate disclosure to the broader security community.
Although the vulnerability impacts all versions of Microsoft Windows – having the potential to impact an enormous user population – from our tracking it appears that its existence was little known and the exploitation was reserved to the Sandworm team.
Given that affected parties were notified and that we did not witness a major surge / broader propagation of the exploit based upon our visibility into the team's command and control infrastructure, we elected to time the disclosure to the availability of a patch. This timing minimizes the potential for other bad actors to take advantage of the vulnerability.
Should we have witnessed a major change, both Microsoft and iSIGHT Partners were ready to release this information in advance of the patch.
The application of this patch should be done as soon as humanly possible given the potential for further exploitation by this cyber espionage team and others in the threat actor community.
Microsoft is detailing a list of workarounds to the vulnerability as part of its bulletin – these workarounds should help mitigate the risk of exploitation while the patching process unfolds for your firm.

Requests for Technical Indicators

As mentioned at the beginning of this blog, iSIGHT is providing indicators of compromise to all concerned parties through a vetting process to assist organizations in analyzing their potential exposure. To request the technical report click here .



 =================================###############################################
 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

發現沙蟲國際石油公司錄未來Maltego變換

 發布者 月15日2014年 網絡威脅情報
 Sandworm Vulnerability
 昨天,iSIGHT的合作夥伴發布的一篇博客文章中宣布CVE-2014-4114的發現 ,在俄羅斯網絡間諜活動中使用的零日漏洞。 該活動被冠以沙蟲,它的通過社交媒體獲得大量的關注,因為在下面的記錄未來的時間軸看到。
沙蟲社會化媒體時間軸
點擊圖片查看大圖
我最近概述了如何使用記錄的未來Maltego轉變為探索從OSINT妥協(國際石油公司)的指標 ,所以我決定去分析一個類似的做法沙蟲漏洞。

循序漸進的方式,步驟大綱

首先,我搜索的iSight攝像報告中提到的一個漏洞實體(CVE-2014-4114)。
沙蟲Maltego分析
然後我運行我們VULN2RF變換,看看有什麼拍攝的未來“知道”這個CVE。
沙蟲Maltego分析
正如預期的那樣,我得到較高的召回對這個查詢記錄的未來。 因此,在這個例子的目的,我將設置我的Maltego滑塊值255,以限制記錄的未來實體的數量在我的圖表返回。
沙蟲Maltego分析
現在,我有一個很好的記錄集未來的實體一起工作,我的下一步就是去尋找國際石油公司。 因此,我不淹沒我的圖,我首先搜索與在沙蟲活動所使用的惡意可執行文件關聯的哈希值。 要做到這一點我跑我RF2HASH變換。
沙蟲Maltego分析
幾秒鐘內,我看到在我的圖中的散列實體返回。 它似乎是從今天公佈的幾個鳴叫提取。
沙蟲Maltego分析
為了驗證該哈希是相關的我的調查,我趕緊確認與顯示另一張圖片哈希其實是惡意的。
注意:哈希只是分析了三種小時前從我跑的查詢表明這可能成為一個新的國際奧委會,其他人可能不被重視但時間。
沙蟲結果顯示另一張圖片
現在,我想實際查看包含的散列的微博之一。 我可以從Maltego做到這一點。
沙蟲Maltego分析
我發現一個有趣的鳴叫指的是哈希值。 鳴叫確認其關聯的CVE和Twitter用戶聲稱有惡意代碼的實時採樣一起寫在烏克蘭語言嵌入PowerPoint演示文稿。
沙蟲哈希分享Tweet
我的下一步就是看能不能從記錄中提取的未來與此相關的活動的任何已知的惡意軟件簽名。 我用的是RF2MALSIG變換做到這一點。
沙蟲Maltego分析
變換返回三個簽名。
注意:有可能更多,但我們限定我們的滑塊值255,所以記住這是數據的一個樣本集對本實施例的目的。
沙蟲Maltego分析
接下來,我想看看我是否可以提取任何已知C&C或其他惡意IP地址。 要做到這一點,我運行RF2IP變換。
沙蟲Maltego分析
接下來,我想用一個簡單的顯示另一張圖片的查詢,以驗證在鳴叫的IP地址,果然,我看到它已經與惡意活動,最近在今天上午! 可能是C2?
沙蟲結果顯示另一張圖片
放大時,我們發現了一個剛剛打破今天的故事了一些偉大的指標。 我敢肯定,更多的國際石油公司將很快開始雨後春筍般冒出來,我只需要重新運行我錄製的未來轉變為發現它們。
沙蟲Maltego分析
因此,對於任何Maltego調查,我們可以繼續運行轉換和擴大圖。 對於這個綱要的目的,我們會停止在這裡,因為我有足夠的信息來執行一些積極的措施,在我的安全運行。 做完我的研究中Maltego我現在可以把一個時間軸中錄製的將來引用,我發現國際石油公司。
沙蟲國際石油公司時間軸
點擊圖片查看大圖
那麼,什麼是我的下一個步驟是什麼?
  1. 我有一些國際石油公司,我可以用它來創建在我的SIEM或其他網絡安全監控平台的檢測內容。
  2. 我可以用這些國際石油公司作為搜索內部反對我的日誌或分組標準,看能不能找到任何跡象顯示沙蟲已經感染了我的網絡。
  3. 我有一個已知的惡意IP地址(如此糟糕,這顯然是從微博中刪除),我可以馬上阻止。
  4. 我可以在我發現我的其他第三方的國際石油公司插頭或自產自銷Maltego轉換,並繼續我的分析。
下表總結了相關的國際石油公司,我能夠提取只需點擊幾下。
哈希 330e8d23ab82e8a0ca6d166755408eb1
IP地址 94。] 185 [。] 85 [。] 122
惡意軟件特徵 Trojan.Mdropper
Backdoor.Lancafdo.A
警告:不要單擊或直接連接到該IP。
快樂的狩獵!

看到這些Maltego變換在行動

我最近提出的Maltego的現場演示轉換本分析所用。 我鼓勵你搶錄製和觀看親眼目睹了公共網絡資源可以幫助你發現國際石油公司。

 ============================
 iSIGHT的發現在俄羅斯網絡間諜活動使用的零日漏洞CVE-2014-4114

iSIGHT的發現在俄羅斯網絡間諜活動使用的零日漏洞CVE-2014-4114

 UPDATE - 14年10月21日

由於我們的信息披露沙蟲隊上週,誰用了CVE-2014-4114零日的網絡間諜運營商,其他人在社會上傑出的工作已闡明了其行為方面的新光源,我們以前沒有意識到的。 我們仍在揭露這項運動新的方面,如定位,惡意軟件和創新的指揮和控制方法,但也許​​最令人不安的是他們在其中運行的重要基礎設施軟件的興趣。
我們有SCADA系統瞄準的新的細節-我們仍然揭示更多的信息,但你可以在這裡閱讀這些細節
————————————————————————————————————————————————————————–
上週(星期四10月16日26年)iSIGHT的合作夥伴舉行了發布會,圍繞沙蟲團隊披露任何有關各方-你可以訪問的按需版本的介紹在這裡
ALSO -一頂帽子,尖的團隊錄製的未來-一個有趣的作品展示發現沙蟲團隊國際石油公司的使用記錄未來Maltego變換...... 在這裡檢查他們的作品

原貼

週二,2014年10月14日,iSIGHT的合作夥伴 - 中密切配合微軟 - 宣布的零日漏洞的發現影響微軟Windows和Windows Server 2008和2012的所有受支持版本。
微軟正在製作補丁可以作為第14補丁更新的一部分,此漏洞 - CVE-2014-4114。
利用此漏洞被發現在野外與一個網絡間諜活動的iSIGHT的合作夥伴屬性俄羅斯的連接。

可見目標

可見這個活動是跨以下域定位。 關鍵是要注意,能見度有限,並且有從這個團體(和潛在的其他威脅者)使用這個零日更廣闊的目標的可能性。
  • 北約
  • 烏克蘭政府組織
  • 西歐政府機構
  • 能源行業的公司(特別是在波蘭)
  • 歐洲電信公司
  • 美國學術組織
iSIGHT_Partners_sandworm_targets_13oct2014
請求技術指標/更多信息
本次活動的高層次的細節 - 包括其背後的演員iSIGHT的的評估 - 可以在下面找到。 進一步的信息提供了一個發布會,上週四,10月16日任何利害關係方下午2:00東部- 你可以訪問的按需版本的介紹在這裡
為了支持企業在確定其潛在的接觸這項運動,iSIGHT的是提供一份更廣泛的技術報告-包容性的指標-通過正式審查程序。
請完整技術報告,請點擊此鏈接並填寫必要的信息。 請注意,您需要提供職業資格證書,包括工作電子郵件和電話以及iSIGHT的可能與您聯繫,確認之前發布的報告,這些憑據。
如果您對本公開媒體的相關詢問,請聯絡iSIGHT的在703.994.9349或發送電子郵件至 isightpartners@okco.com

對沙蟲高層-網絡間諜活動歸因於俄羅斯

作為我們普通的一部分, 網絡威脅的情報作業,iSIGHT的合作夥伴是跟踪了越來越鼓的節拍網絡間諜活動了俄羅斯。
我們正在積極監測多個入侵的團隊具有不同的任務,目標和攻擊能力。 我們至少有五個不同的入侵團隊跟踪有效的廣告活動。
例如,我們最近披露的那些球隊(稱為沙皇隊)周邊的一個活動中使用的移動惡意軟件 這個團隊以前推出針對美國運動和歐洲情報機構,軍隊,國防承包商,新聞機構,非政府組織和多邊組織。 它還針對聖戰分子和反政府武裝在車臣。
我們都歸於這個特定的網絡間諜活動,這已經iSIGHT的被稱為“沙蟲隊”的基礎上其使用的編碼引用了經典科幻系列的沙丘在指揮和控制的網址以及各種惡意程序樣本不同的入侵隊伍。
該小組已經被F-Secure的,裡面詳細介紹之前稱為Quedach 在2014年9月這項運動的元素 ,但只抓住了活動的一小部分,並沒有詳細的使用的零日漏洞。
iSIGHT的合作夥伴一直在監測的沙蟲隊的活動從2013年年底和2014年各地 - 這支球隊的起源似乎是2009年左右的團隊傾向於使用矛釣魚與惡意文檔附件為目標的受害者。 許多觀察到的誘惑都已經具體到與俄羅斯的烏克蘭衝突,涉及到更廣泛的俄羅斯地緣政治問題。 該小組最近使用多種攻擊方法來捕獲它的目標,其中包括使用BlackEnergy犯罪軟件,利用多達兩已知的漏洞同時,與這個新發現的Microsoft Windows零日的。
對沙蟲的目標有些年代的細節...
  • 北約聯盟的目標是,早在2013年12月與比戰功的零日等
  • GlobSec與會者進行了有針對性的在2014年5月與戰功比零天等
  • 2014年6月
    • 針對廣泛的針對一個特定的西歐政府
    • 波蘭能源公司利用CVE-2013-3906目標
    • 針對使用配置了Base64編碼的參考事務所BlackEnergy變體的法國電信公司的
在八月下旬,而跟踪沙蟲隊發現iSIGHT的矛釣魚運動目標的烏克蘭政府,並至少有一個美國組織。 值得注意的是,這些矛釣魚攻擊正好與烏克蘭的北約首腦會議在威爾士舉行。
9月3日,我們的研究和實驗室團隊發現,矛釣魚攻擊依賴的一個零日漏洞被利用影響的Microsoft Windows(XP不受影響)和Windows Server 2008和2012 A的所有受支持版本武器化的PowerPoint文檔觀察到在這些攻擊。
雖然我們有什麼數據exfiltrated在這場運動中沒有觀察到的細節,利用這一零日漏洞,幾​​乎可以保證,所有這些目標的實體的​​犧牲品一定程度。
我們立即通知有針對性的實體,我們在多個政府和私營部門領域的客戶,並開始與微軟合作,跟踪這項運動,並制定了一個補丁的零日漏洞。
iSIGHT_Partners_sandworm_timeline_13oct2014

與微軟的合作中,我們發現了以下幾點:

  • 在Microsoft Windows和服務器的OLE包管理器的暴露危險的方法存在漏洞
    • 影響Windows操作系統從Vista SP2的所有版本到Windows 8.1
    • 衝擊的Windows Server 2008版本和2012年
  • 當利用該漏洞允許攻擊者遠程執行任意代碼
  • 該漏洞的存在是因為Windows允許的OLE打包(打包.DLL)下載並執行INF文件。 在觀察到的情況下利用,具體辦理的Microsoft PowerPoint文件時,將打包允許包的OLE對象引用任意外部文件,如INF文件,從不受信任來源。
  • 這將導致所引用的文件中的INF文件的情況下被下載,要與特定的命令執行
  • 攻擊者可以利用這個漏洞執行任意代碼,但需要一個專門製作的文件,並使用社會工程學的方法(在這場運動中觀察到的),以誘使用戶打開

協調信息披露

在過去的5週,iSIGHT的合作夥伴密切合作,與微軟進行跟踪和監測野生該漏洞被利用,共享技術信息,以幫助該漏洞和補丁的發展進行分析,並協調信息披露,以更廣泛的安全社區。
儘管該漏洞影響所有版本的Microsoft Windows - 有撞擊的巨大用戶群的潛力 - 從我們跟踪它看來,它的存在是鮮為人知的剝削是保留給沙蟲隊。
由於受影響的各方進行了通報和我們沒有看到的根據我們的了解整個團隊的指揮和控制基礎設施的攻擊,我們選擇的時間披露補丁的可用性的一個主要浪湧/更廣泛的傳播。 這樣的時間安排,最大限度地減少等不良行為者採取漏洞的利用潛力。
如果我們看到一個重大的變化,微軟和iSIGHT的合作夥伴已經準備好發布此信息提前補丁。
這個補丁的應用程序應該盡快做力所能及的給予進一步開發這一網絡間諜活動小組和其他威脅的演員社區的潛力。
微軟詳述解決方法漏洞的列表作為公告的一部分 - 這些解決方法應該有助於減輕剝削的風險,而打補丁的過程展現你的公司。

請求技術指標

如前所述,在這個博客的開頭,iSIGHT的通過審批過程中提供的妥協,有關各方的指標,以協助組織在分析其潛在的風險。 要求技術報告請 ​​點擊這裡



========================================####################################################
 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

녹화 미래 Maltego 변환으로 Sandworm의 IOC를 발견

 2014년 10월 15일에 의해 배치하는 사이버 위협 인텔리전스
 Sandworm Vulnerability
 어제를 iSIGHT 파트너 블로그 게시물 게시 된 CVE-2014-4114의 발견 발표 , 러시아의 사이버 스파이 캠페인에 사용되는 제로 데이 취약점을. 캠페인은 Sandworm 명명되었습니다 아래 기록 된 미래의 타임 라인에서 볼 수 있듯이이 소셜 미디어를 통해 관심의 톤을지고있어.
Sandworm 소셜 미디어 타임 라인
더 크게 보려면 이미지를 클릭하십시오
나는 최근에 미래 Maltego가 변환 녹음 사용하는 방법을 설명 OSINT에서 타협 (의 IOC)의 지표를 발견 그래서 비슷한 방식으로 Sandworm 취약점을 분석하기로 결정했다.

단계별 개요

첫째, iSight를 보고서에 언급 된 하나의 취약점 엔티티 (CVE-2014-4114)를 검색합니다.
Sandworm Maltego 분석
그럼 우리의 VULN2RF 녹화 된 미래이 CVE "인식"을 확인 변환을 실행합니다.
Sandworm Maltego 분석
예상대로, 나는 녹음 미래에이 쿼리에 높은 리콜을 얻을. 이 예의 목적을 위해, I는 녹화 미래 엔티티의 수를 제한하기 위해 255 내 Maltego 슬라이더 값을 설정할 것이다 그래서 내 그래프로 돌려 보냈다.
Sandworm Maltego 분석
지금은 작업에 기록 미래 기업의 좋은 세트를 가지고, 내 다음 단계는 IOC를 사냥하는 것입니다. 그래서, 내 그래프 홍수하지​​ 않는 내가 먼저 악성 실행 파일이 Sandworm 캠페인에 사용과 관련된 해시 값을 검색합니다. 내 RF2HASH 변환을 실행하는 것이해야 할 일.
Sandworm Maltego 분석
초 안에, 내가 해시 기업 내 그래프에 반환을 참조하십시오. 그것은 오늘 발표 여러 트윗에서 추출 할 것으로 보인다.
Sandworm Maltego 분석
이 해시 수사와 관련이 유효성을 확인하기 위해, 나는 빨리 해시 악의적 인 사실에 VirusTotal으로 확인했다.
참고 : 해시 그냥 다른 사람들이 아직 주목을 지불 할 수 없습니다 신선한 IOC가이 가능성을 나타내는 쿼리를 실행 한 시간로부터 3 시간 전 분석 하였다.
Sandworm VirusTotal 결과
지금은 실제로 해시를 포함 된 트윗 중 하나를 보려는. 나는 Maltego 내에서이 작업을 수행 할 수 있습니다.
Sandworm Maltego 분석
나는 해시를 참조 흥미로운 트윗을 찾을 수 있습니다. 트윗 CVE와의 연결을 확인하고 트위터 사용자는 우크라이나어 언어로 작성된 임베디드 파워 포인트 프리젠 테이션과 함께 악성 코드의 실시간 샘플을 주장하고있다.
Sandworm 해시 트윗
내 다음 단계는 내가 기록 미래에서이 캠페인과 관련된 알려진 악성 코드 시그니처를 추출 할 수 있는지 확인하는 것입니다. 나는 RF2MALSIG 이렇게 변환을 사용합니다.
Sandworm Maltego 분석
반품 세 서명을 변환.
참고 :이 아마 더하지만 우리가 255 우리의 슬라이더 값을 제한하므로이이 예제의 목적을 위해 데이터의 샘플 세트입니다 명심.
Sandworm Maltego 분석
다음, 나는 알려진 C & C 또는 다른 악성 IP 주소를 추출 할 수 있는지 확인하고 싶습니다. 이를 위해 나는 RF2IP 변환을 실행합니다.
Sandworm Maltego 분석
다음으로, 간단한 VirusTotal 쿼리를 사용하여 트윗에서 IP 주소를 확인하고 싶은, 과연, 나는 오늘 아침처럼 최근 악의적 인 활동과 관련 된 관측하고! 아마도 C2?
Sandworm VirusTotal 결과
의 확대, 우리는 오늘 깨고 이야기에 대한 몇 가지 좋은 지표를 찾을 수 있습니다. 나는 더 많은 IOC를 곧 팝업 시작됩니다 확신하고 나는 단지 내 기록 미래를 발견하는 변환 다시 실행해야합니다.
Sandworm Maltego 분석
어떤 Maltego 조사와 같은 그래서, 우리는 변환을 실행하고 그래프를 확대 할 수있었습니다. 내 보안 작업에서 일부 사전 조치를 실행하기에 충분한 정보를 갖고 있기 때문에이 윤곽의 목적을 위해, 우리는 여기에 중단됩니다. 지금 함께 내가 찾은 IOC의 참조를 기록 미래에서 타임 라인을 넣을 수 있습니다 Maltego 내 연구를 가졌어요.
Sandworm IOC의 타임 라인
더 크게 보려면 이미지를 클릭하십시오
그래서 내 다음 단계는 무엇인가?
  1. 나는 내 SIEM 또는 기타 네트워크 보안 모니터링 플랫폼에서 검출 콘텐츠를 만드는 데 사용할 수있는 몇 가지의 IOC 있습니다.
  2. 나는 Sandworm 내 네트워크를 감염 징후를 찾을 수 있는지 확인하기 위해 내부적으로 내 로그 또는 패킷에 대한 검색 조건으로 이들의 IOC를 사용할 수 있습니다.
  3. 나는 즉시 차단할 수있는 하나의 알려진 잘못된 IP 주소 (이 분명히 트위터에서 제거 그렇게 나쁜)이있다.
  4. 나는 내 추가로 타사에 발견의 IOC를 연결하거나 자체 개발 Maltego는 변환 내 분석을 계속합니다.
이 테이블은 그냥 몇 번의 클릭으로 추출 할 수 있었다 관련의 IOC을 요약 한 것입니다.
해시 330e8d23ab82e8a0ca6d166755408eb1
IP 주소 94 [.] 185 [.] (85) [.] (122)
악성 코드 서명 Trojan.Mdropper
Backdoor.Lancafdo.A
경고 : 클릭하거나이 IP에 직접 연결하지 마십시오.
해피 사냥!

액션이 Maltego 변환을 참조하십시오

나는 최근에 Maltego의 라이브 데모이 분석에 사용되는 TO 발표했다. 내가하는 것이 좋습니다 녹음을 잡아 및 웹 소스는 IOC의를 발견 할 수 있습니다 직접 방법을 공개보세요.

 ============================
  CVE-2014-4114의 발견 발표

를 iSIGHT 러시아 사이버 스파이 캠페인에 사용되는 제로 데이 취약점 CVE-2014-4114를 발견

 를 iSIGHT 러시아 사이버 스파이 캠페인에 사용되는 제로 데이 (zero-day) 취약점 CVE-2014-4114을 발견

모든 Microsoft Windows 버전에 영향을 SandWorm 팀 제로 일 - NATO, 유럽 연합 (EU), 통신 및 에너지 부문 대상 러시아어 사이버 스파이 캠페인에 사용

UPDATE - 10/21/14

Sandworm 팀의 우리의 공개 지난 주 이후, CVE-2014-4114 제로 데이 (Zero-day)를 사용하고 사이버 스파이 사업자, 지역 사회에서 다른 사람에 의해 우수한 작품은 자신의 행동의 측면을 새롭게 조명 한 우리는 이전에 몰랐다. 우리는 여전히 타겟팅, 악성 코드, 혁신적인 명령 및 제어 방법으로이 캠페인의 새로운면을 폭로하고 있지만 아마도 가장 당황 중요한 인프라를 실행하는 소프트웨어에 대한 관심이다.
우리는 여전히 더 많은 정보를 폭로하고 있습니다하지만 당신은 할 수 있습니다 - 우리는 SCADA 시스템 타겟팅의 새로운 내용을 가지고 여기에 이러한 내용을 읽어
————————————————————————————————————————————————————————–
지난 주 (2014년 10월 16일 (목요일))를 iSIGHT 파트너는 Sandworm 팀 공개를 둘러싼 모든 이해 관계자에게 브리핑을 개최 - 당신이의 온 디맨드 버전에 액세스 할 수 있습니다 여기에 브리핑을 .
또한 - 기록 된 미래의 팀 모자 팁 - Sandworm 팀의 IOC의 발견을 보여주는 작품의 흥미로운 부분이 미래 Maltego되는 TO 기록하여 ... 여기에 자신의 작품을 확인

원래의 게시물

2014년 10월 14일 (화요일)에,를 iSIGHT 파트너 - 긴밀한 협력 마이크로 소프트와 함께 - Microsoft Windows 및 2008 년과 2012 년 지원되는 모든 Windows Server 버전에 영향을 미치는 제로 데이 취약점의 발견을 발표했다.
CVE-2014-4114 - 마이크로 소프트는 14 일 패치 업데이트의 일부로 사용할 수있는이 취약점에 대한 패치를하고있다.
이 취약점을 악용는를 iSIGHT 파트너는 러시아에 속성 사이버 스파이 캠페인과 관련하여 야생에서 발견되었다.

눈에 보이는 대상

이 캠페인에 대한 가시성은 다음과 같은 도메인에서 대상을 나타냅니다. 그것은 그 가시성이 제한되어주의하는 것이 중요하며, 폭 넓은이 제로 데이 (Zero-day)를 사용하여이 그룹 (잠재적으로 다른 위협 배우)에서 대상을 유발할 수있는 위험이 있음.
  • NATO
  • 우크라이나 정부 기관
  • 서유럽 정부 기관
  • 에너지 분야의 기업 (특히 폴란드)
  • 유럽​​의 통신 회사
  • 미국 교육 기관
iSIGHT_Partners_sandworm_targets_13oct2014
추가 정보 기술 지표 / 요청
이 캠페인의 높은 수준의 세부 사항 - 그 뒤에 배우를 iSIGHT의 평가를 포함하여 - 아래 찾을 수 있습니다. 자세한 내용은 동부 오후 2시 목요일 10 월 16 일에 관심있는 자에게 브리핑에서 제공 한 - 당신은의 주문형 버전에 액세스 할 수 있습니다 여기에 브리핑을 .
지표의 포함 - - 공식적인 심사 과정을 통해이 캠페인에 자신의 노출을 결정하는 조직을 지원하기를 iSIGHT 사용할 수 광범위한 기술 보고서를 만들고있다.
전체 기술 보고서를 요청하려면,이 따르십시오 링크를 하고 필요한 정보를 완료합니다. 업무용 전자 메일과 전화 및 보고서를 공개하기 전에 해당 자격 증명을 확인하기 위해 연락을 수를 iSIGHT을 포함하여 전문 자격 증명을 제공 할 필요가 있습니다.
이 공개에 관한 미디어 관련 문의 사항이있는 경우, 703.994.9349 또는 이메일을 보내를 iSIGHT에 문의하시기 바랍니다 isightpartners@okco.com .

Sandworm에 높은 수준의 - 사이버 간첩 캠페인은 러시아에 기인

우리 정상의 일환으로 사이버 위협 인텔리전스 작업,를 iSIGHT 파트너의 성장 드럼 비트 추적 사이버 간첩 러시아의 밖으로 활동.
우리는 적극적으로 다른 임무, 목표와 공격 기능을 여러 침입 팀을 모니터링하고 있습니다. 우리는 적어도 다섯 별개의 침입 팀이 활성화 캠페인을 추적하고 있습니다.
예를 들어, 우리는 최근 주변 사람들 팀 (별명 차르 팀) 중 하나의 활동이 개시 모바일 악성 코드의 사용을 . 이 팀은 이전에 미국을 대상으로 캠페인과 유럽 정보 사회, 군사, 방위 산업체, 언론 기관, 비정부기구 및 다자기구를 출시했다. 또한 체첸에서 지하드와 반군을 목표로하고있다.
우리를 iSIGHT 명령 및 제어 URL과 다양한 악성 코드 샘플의 고전 공상 과학 시리즈 모래 언덕에 인코딩 된 참조의 사용을 기반으로 'Sandworm 팀'새로 녹음 한 다른 침입 팀이 특정 사이버 스파이 캠페인을 탓한다.
팀은 이전에 F - 시큐어, 세부에 의해 Quedach로 언급 된 2014년 9월이 캠페인의 요소를 하지만 활동의 작은 구성 요소를 캡처 세부 사항에 제로 데이 취약점의 사용을 실패했습니다.
를 iSIGHT 파트너는 2013 년 말에서 2014 년에 걸쳐 Sandworm 팀의 활동을 모니터링되었습니다 -이 팀의 기원은 2009 년 주위에 나타납니다 팀은 스피어 피싱 피해자를 대상으로 악성 문서 첨부 파일의 사용을 선호한다. 관찰 미끼의 대부분은 러시아와 우크라이나의 갈등과 러시아에 관련된 광범위한 지정 학적 문제로 특정되어왔다. 이 팀은 최근에 여러 사용 BlackEnergy의 크라임웨어, 동시에 두 개의 알려진 취약점이 새로 관찰 된 마이크로 소프트 윈도우 제로 데이 (zero-day)만큼의 착취의 사용을 포함 트랩 방법의 목표를 악용하고있다.
Sandworm의 타겟팅에 일부 연대기 세부 사항 ...
  • 나토 동맹은 제로 데이 (zero-day) 이외의 공격으로 2013년 12월 조기 타겟이되었다
  • GlobSec 참가자들은 제로 데이 (zero-day) 이외의 공격 2014 월에 대상이되었다
  • 2014년 6월
    • 브로드 특정 서유럽 정부에 대한 목표
    • CVE-2013-3906를 이용하여 폴란드 에너지 회사의 타겟팅
    • 회사에 Base64로 인코딩 된 참조로 구성된 BlackEnergy 변형을 사용하여 프랑스 통신 회사의 타겟팅
Sandworm 팀을 추적하면서 8 월 말,,를 iSIGHT는 우크라이나 정부 및 하나 이상의 미국 기업을 대상으로 스피어 피싱 캠페인을 발견했다. 특히, 이러한 스피어 피싱 공격은 웨일즈에서 열린 우크라이나의 나토 정상 회담와 일치.
9 월 3 일, 우리의 연구 및 실험실 팀은 스피어 피싱 공격의 Microsoft Windows (XP가 영향을받지 않습니다) 및 Windows Server 2008 및 2012의 지원되는 모든 버전에 영향을 미치는 제로 데이 취약점의 착취에 의존 파워 포인트 문서를 무기화 발견 이 공격에서 관찰되었다.
우리가이 캠페인에 exfiltrated 된 어떤 데이터에없는 관찰 내용을 가지고 있지만,이 제로 데이 취약점의 사용은 사실상 대상으로 그 실체가 모두 어느 정도의 희생양 보장합니다.
우리는 즉시 대상 기관, 여러 정부와 민간 부문 도메인에서 우리의 고객을 통보하고이 캠페인을 추적하고 제로 데이 취약점에 대한 패치를 개발하기 위해 마이크로 소프트와 작업을 시작했다.
iSIGHT_Partners_sandworm_timeline_13oct2014

마이크로 소프트와 협력, 우리는 다음을 발견했다 :

  • 노출 위험한 방법 취약점이 Microsoft Windows 및 서버의 OLE 패키지 관리자에 존재
    • 윈도우 8.1에 비스타 SP2에서 Windows 운영 체제의 모든 버전에 영향을 미치는
    • 충격을 가하는 윈도우 서버 2008 버전과 2012
  • 악용 경우 취약점으로 인해 공격자가 원격으로 임의의 코드를 실행할 수 있습니다
  • Windows가 OLE 포장기 (포장기 .DLL)를 다운로드하고 INF 파일을 실행할 수 있기 때문에 취약점이 존재합니다. 관찰의 경우 특히 마이크로 소프트 파워 포인트 파일을 처리 할 때, 악용, 꾸러미를 포장 OLE 객체가 신뢰할 수없는 출처에서 이러한 INF 파일과 같은 임의의 외부 파일을 참조 할 수 있습니다.
  • 이는 참조 된 파일은 INF 파일의 경우에 다운로드되게되며, 특정 명령으로 실행될
  • 공격자는 임의의 코드를 실행하기 위해이 취약점을 악용 할 수 있지만 구체적으로 조작 된 파일을 필요하고 사용자가 열도록 유도 (이 캠페인에서 관찰) 사회 공학적 방법을 사용

협정 공개

지난 5 주 동안,를 iSIGHT 파트너 추적하고 야생에서이 취약점의 악용을 감시, 취약점 및 패치의 개발의 분석을 지원하기 위해 기술 정보를 공유하고, 폭 넓은 보안에 공개를 조정하기 위해 마이크로 소프트와 긴밀히 협력 지역 사회.
엄청난 사용자 수에 영향을 미칠 수있는 잠재력을 가진 - - 취약점의 영향을 모든 버전의 Microsoft Windows 있지만 우리의 추적에서 그것의 존재가 거의 알려져 있음을 표시하고 착취는 Sandworm 팀 예약되었습니다.
영향을받는 당사자가 통보 된 점을 감안하고 우리는 팀의 명령 및 제어 인프라에 우리의 가시성을 기반으로 악용, 우리는 시간에 패치의 가용성에 대한 공개를 선출의 주요 서지 / 넓은 전파를 목격하지 않았다. 이 타이밍은 다른 나쁜 배우들이 취약점을 활용할 가능성을 최소화 할 수 있습니다.
우리가 큰 변화를 목격 한 경우, 마이크로 소프트와 파트너를 iSIGHT 모두 패치의 사전에이 정보를 공개 할 준비가되어 있었다.
이 패치의 적용은 위협 배우 커뮤니티에서이 사이버 스파이 팀과 다른 사람들이 더 착취의 가능성 주어진 인간적으로 가능한 한 빨리 수행해야합니다.
패치 과정이 당신의 회사를 위해 전개하는 동안 이러한 해결 방법은 착취의 위험을 완화해야 - 마이크로 소프트는 공지의 일부로 취약점에 대한 해결 방법의 목록을 자세히 설명한다.

기술적 지표에 대한 요청

이 블로그의 시작 부분에 언급 한 바와 같이,를 iSIGHT는 노출을 분석하는 기관을 지원하기 위해 심사 과정을 통해 모든 이해 관계자에 대한 손상의 지표를 제공하고 있습니다. 기술 보고서를 클릭를 요청하려면 여기를 .



 ========================================#################################################


-**Please use the god home use Google translator to translate the language of your country or city Oh ^^-
-**請各位用家善用谷歌大神的翻譯器,來翻譯你們的國家或城市的語言喔^^-
-**국가 또는 도시 ^^ 언어를 번역하는the 하나님의 가정에서 사용하는 구글 번역기를 사용하십시오-
-**Se il vous plaît utiliser l'utilisation de la maison de Dieu traducteur de Google pour traduire la langue de votre pays ou ville Oh ^^-
-**あなたの国や都市ああ^^の言語を翻訳するために神の家庭用のGoogle翻訳を使用してください -
-**Будь ласка, використовуйте бог домашнього використання перекладач Google перевести мову вашої країни або міста Oh ^^-
-**Bitte benutzen Sie den Gott den Heimgebrauch Google Übersetzer, um die Sprache Ihres Landes oder Stadt Oh ^^ übersetzen-
-**Käytäthe jumala kotikäyttöön Googlen kääntäjä kääntääthe kieli maata tai kaupunkia Oh ^^-
-**Proszę używać korzystania bóg startowej Google Translator przetłumaczyć język kraju lub miasta Oh ^^-
-**Vui lòng s dng vic s dng thn ch Google phiên dch đ dch các ngôn ng ca đt nước, thành ph ca bn Oh ^^-
-**Utilice el uso dios casa traductor de Google para traducir el idioma de su país o ciudad Oh ^^-
-**Utere deo, domum usu translator Google Translate to the language of patriae, civitatem O ^^-
-**Пожалуйста, используйте бог домашнего использования переводчик Google перевести язык вашей страны или города Oh ^^ -
-**Gebruik de god thuisgebruik Google vertaler naar de taal van uw land of stad Oh ^^ vertalen-
-**Sila gunakan digunakan di rumah tuhan penterjemah Google untuk menterjemahkan bahasa negara atau bandar anda Oh ^^-
-**Bruk gud hjemmebruk Google oversetter til å oversette språket i landet eller byen Oh ^^-
-**Si prega di utilizzare l'uso dio Home page di Google traduttore per tradurre la lingua del proprio paese o città Oh ^^-
-**Mangyaring gamitin ang bahay diyos paggamit tagasalin ng Google upang i-translate ang wika ng iyong bansa o lungsod Oh ^^-
-**Använd guden hemmabruk Google översättare att översätta språket i ditt land eller stad Oh ^^-
-**الرجاء استخدام استخدام إله المنزل مترجم جوجل لترجمة لغة بلدك أو المدينة أوه ^^-
- **Utere deo, domum usu translator Google Translate to the language of patriae, civitatem O ^^-
-**Silahkan gunakan penggunaan dewa rumah Google translator untuk menerjemahkan bahasa negara atau kota Oh ^^-
-**Brug venligst gud hjemmebrug Google oversætter til at oversætte sproget i dit land eller by Oh ^^-
-**Παρακαλώ χρησιμοποιήστε το θεό οικιακή χρήση του Google μεταφραστή να μεταφράσει τη γλώσσα της χώρας ή της πόλης σας Ω ^^-
-**กรุณาใช้theใช้งานที่บ้านพระเจ้าของ Google แปลที่จะแปลภาษาของประเทศหรือเมืองของคุณโอ้ ^^the-
-**Bonvolu uzi la dio hejmo uzo Google tradukisto por traduki la lingvon de via lando aŭ urbo Ho ^^- ** 

 ############################################
 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

Découvrir Sandworm IOC Avec futurs comptabilisés Maltego Transforms

 Posté par le 15 Octobre, 2014 Cyber ​​Threat Intelligence
 Sandworm Vulnerability
 Hier, iSIGHT Partners a publié un billet de blog annonçant la découverte de CVE-2014-4114 , une vulnérabilité zero-day utilisé dans une campagne cyber-espionnage russe. La campagne a été surnommé Sandworm et ça devient une tonne d'attention via les médias sociaux comme on le voit dans la chronologie futurs constatés ci-dessous.
Sandworm Social Media Timeline
Cliquez sur l'image pour l'agrandir
Je ai récemment esquissé comment utiliser les futurs comptabilisés Maltego transforme à découvrir indicateurs de compromis (IOC) de OSINT alors je ai décidé d'analyser la vulnérabilité de Sandworm avec une approche similaire.

Step-by-Step Outline

Tout d'abord, je cherche pour l'entité de la vulnérabilité unique (CVE-2014-4114) mentionné dans le rapport iSight.
Sandworm Maltego Analyse
Puis-je faire tourner notre VULN2RF transforme pour voir ce que l'avenir Enregistré "sait" de cette CVE.
Sandworm Maltego Analyse
Comme prévu, je reçois haute rappel sur cette requête dans l'avenir enregistrée. Donc, pour le but de cet exemple, je vais mettre ma valeur de curseur Maltego à 255 afin de limiter le nombre d'entités futurs constatés retourné dans mon graphique.
Sandworm Maltego Analyse
Maintenant que je ai une belle série de futures entités enregistrées à travailler avec, ma prochaine étape est de chasser pour les compagnies pétrolières internationales. Donc, je ne inonde pas mon graphe, je ai d'abord rechercher des valeurs de hachage associés avec des exécutables malveillants utilisés dans la campagne de Sandworm. Pour ce faire, je lance mon RF2HASH transformer.
Sandworm Maltego Analyse
En quelques secondes, je vois une entité de hachage retourné dans mon graphe. Il semble être extrait de plusieurs tweets publiés aujourd'hui.
Sandworm Maltego Analyse
Pour valider ce hachage est pertinent pour mon enquête, je ai vite confirmé avec VirusTotal le hachage est en fait malveillants.
Remarque: Le hachage était juste analysé il ya trois heures à partir du moment je ai couru la requête indiquant le potentiel pour que ce soit un nouveau CIO que d'autres peuvent ne pas être attentifs encore.
Résultats Sandworm VirusTotal
Maintenant, je veux voir effectivement l'un des tweets qui contiennent le hachage. Je peux le faire de l'intérieur Maltego.
Sandworm Maltego Analyse
Je trouve un Tweet intéressante se référant à la table de hachage. Le tweet confirme son association avec le CVE et l'utilisateur Twitter prétend avoir un échantillon vivant de code malveillant avec une présentation PowerPoint incorporée écrit en langue ukrainienne.
Sandworm Hash Tweet
Ma prochaine étape est de voir si je peux extraire de Future enregistré des signatures de codes malveillants connus associés à cette campagne. Je utilise le RF2MALSIG transformer pour ce faire.
Sandworm Maltego Analyse
Le rendement de transformation trois signatures.
Note: Il ya probablement plus limités mais nous notre valeur du curseur à 255, donc garder à l'esprit que ce est un ensemble d'échantillons de données dans le but de cet exemple.
Sandworm Maltego Analyse
Ensuite, je aimerais voir si je peux extraire toute C & C connue ou d'autres adresses IP malveillantes. Pour ce faire je lance transformer le RF2IP.
Sandworm Maltego Analyse
Ensuite, je tiens à valider l'adresse IP du Tweet aide d'une requête VirusTotal simple et, bien sûr, je observe qu'il a été associé à une activité malveillante aussi récemment que ce matin! Peut-être un C2?
Résultats Sandworm VirusTotal
Zoom avant, nous trouvons quelques grands indicateurs pour une histoire qui vient de rompre aujourd'hui. Je suis sûr que plusieurs compagnies pétrolières internationales vont bientôt commencer à éclater et je ne ai besoin de ré-exécuter mon avenir Enregistré transforme pour les découvrir.
Sandworm Maltego Analyse
Donc, comme pour toute enquête Maltego, nous pourrions continuer à exécuter la transformation et de l'expansion de notre graphique. Aux fins de ce plan, nous allons arrêter là puisque je ai suffisamment d'informations pour exécuter des mesures proactives dans mon opération de sécurité. Ayant fait mes recherches dans Maltego je peux maintenant mettre en place un calendrier de Recorded Future référençant les compagnies pétrolières internationales que je ai trouvé.
Sandworm IOC Timeline
Cliquez sur l'image pour l'agrandir
Alors, quels sont mes prochaines étapes?
  1. Je ai quelques IOC je peux utiliser pour créer du contenu de détection dans mon SIEM ou d'autres plates-formes de suivi de la sécurité réseau.
  2. Je peux utiliser ces compagnies pétrolières internationales comme critères de recherche interne contre mes journaux ou paquets pour voir si je trouve aucune indication Sandworm a infecté mon réseau.
  3. Je ai une mauvaise adresse IP connue (si mauvaise qu'elle a apparemment été retiré de Twitter) je peux bloquer immédiatement.
  4. Je peux brancher les compagnies pétrolières internationales, je ai découvert à mon tiers supplémentaire ou Homegrown Maltego transforme et continuer mon analyse.
Ce tableau résume les compagnies pétrolières internationales pertinentes que je ai pu extraire en quelques clics.
Hachis 330e8d23ab82e8a0ca6d166755408eb1
Adresse IP 94 [.] 185 [.] 85 [.] 122
Signatures de codes malveillants Trojan.Mdropper
Backdoor.Lancafdo.A
Attention: Ne cliquez pas ou se connecter directement à cette adresse IP.
Bonne chasse!

Voir ces transformées Maltego en action

Je ai récemment présenté une démonstration en direct de la Maltego transforme utilisé dans cette analyse. Je vous encourage à saisir l'enregistrement et regarder de première main comment publique sources Web peuvent vous aider à découvrir les compagnies pétrolières internationales.



 ========================================================================================
 https://www.recordedfuture.com/sandworm-maltego-analysis/
Recorded Future 

録画フューチャーMaltegoトランスフォームでSandwormのIOCを発見


 2014年10月15日投稿者サイバー脅威インテリジェンス
 Sandworm Vulnerability
 昨日、iSIGHTはパートナーはブログ投稿、公開CVE-2014から4114の発見を発表 、ロシアのサイバースパイのキャンペーンで使用ゼロデイ脆弱性を。 キャンペーンはSandwormと呼ばれた、下記録画今後のタイムラインに見られるように、それはソーシャルメディアを経由して注目のトンを得ている。
Sandwormソーシャルメディアタイムライン
画像を拡大するにはクリック
私は最近、今後のMaltegoがするトランスフォーム録画の使用方法を概説しOSINTから妥協(のIOC)の指標を発見したので、私は同じようなアプローチでSandwormの脆弱性を分析することにしました。

ステップバイステップの概要

まず、私はiSIGHTは報告書に記載されているシングル脆弱性エンティティ(CVE-2014から4114)を検索します。
Sandworm Maltego分析
それから私は、私たちのVULN2RF録画未来がこのCVEについて「知っている」ものを見るために変換して実行。
Sandworm Maltego分析
予想されたように、私は録画今後このクエリで高い再現率を得る。 この例の目的のために、I録画未来エンティティの数を制限するために、255に私Maltegoスライダ値を設定しますので、私のグラフに戻される。
Sandworm Maltego分析
今私はで動作するように記録された未来のエンティティの素敵なセットを持っていることを、私の次のステップは、IOCのために狩りをすることです。 だから私は私が最初にSandwormキャンペーンに使用されている悪質な実行ファイルに関連付けられたハッシュ値を検索し、私のグラフをフラッディングしないでください。 私は私のRF2HASH変換を実行することをすることができません。
Sandworm Maltego分析
秒以内に、私は、ハッシュエンティティが私のグラフで返さを参照してください。 今日は、公開いくつかのつぶやきから抽出されるようである。
Sandworm Maltego分析
このハッシュが私の調査に関連して検証するには、私はすぐにハッシュが悪意のある実際にはVirusTotalで確認。
注意:ハッシュがちょうど私は他の人がまだに注意を払っていないことが新鮮IOCであることの可能性を示すクエリを実行した時から3時間前に分析した。
Sandworm VirusTotal結果
今、私は実際にハッシュを含まつぶやきのいずれかを表示する。 私はMaltego内からこれを行うことができます。
Sandworm Maltego分析
私はハッシュを参照面白いつぶやきを見つける。 つぶやきはCVEとの関連付けを確認し、Twitterユーザーは、ウクライナ語で書かれた埋め込まれたPowerPointプレゼンテーションと一緒に悪質なコードのライブのサンプルを持っていると主張している。
Sandwormハッシュツイート
私の次のステップは、私が録画未来からこのキャンペーンに関連するすべての既知のマルウェアのシグネチャを抽出できるかどうかを確認することです。 私はRF2MALSIGはこれを行うに変換を使用。
Sandworm Maltego分析
リターン3署名を変換する。
注:これは、この例の目的のためのデータのサンプルセットであり、よりおそらくですが、私たちは255に私たちのスライダ値が制限されているので注意してください。
Sandworm Maltego分析
次に、私は、任意の既知のC&Cまたはその他の悪意のあるIPアドレスを抽出できるかどうかを確認したいと思います。 これを行うには、私はRF2IP変換を実行します。
Sandworm Maltego分析
次に、私は確かに、単純なVirusTotalクエリを使用してつぶやきからIPアドレスを検証したい、私はそれが最近、今朝のようにように悪意のある活動と関連していた観察! おそらくC2?
Sandworm VirusTotal結果
でズーム、私達はちょうど今日破壊の話のためにいくつかの素晴らしい指標を見つける。 私はより多くのIOCがすぐにポップアップが開始されます確信していると私は私の録画未来がそれらを発見するために変換し再実行する必要があります。
Sandworm Maltego分析
だから、どんなMaltegoの調査と同様に、我々は変換を実行していると私たちのグラフを拡大し続けることができる。 私は私のセキュリティ動作にいくつかの積極的な施策を実行するための十分な情報を持っているので、このアウトラインの目的​​のために、我々はここで停止されます。 Maltegoで私の研究を行ってきた私は今、一緒に私が見つけたのIOCを参照録画未来のタイムラインを置くことができます。
SandwormのIOCタイムライン
画像を拡大するにはクリック
だから、私の次のステップは何ですか?
  1. 私は私のSIEM​​またはその他のネットワークセキュリティ監視プラットフォームでの検出コンテンツを作成するために使用できるいくつかのIOCを持っている。
  2. 私はSandwormが私のネットワークに感染した兆候を見つけるかどうかを確認するために内部的に私のログやパケットに対して、検索条件としてこれらのIOCを使用することができます。
  3. 私はすぐにブロックすることができます1既知の不正IPアドレス(これは明らかにTwitterから削除されたので、悪い)がある。
  4. 私は私の追加のサードパーティまたは自社開発Maltegoトランスフォームに発見のIOCにプラグインして、私の分析を継続することができます。
このテーブルには、私は数回クリックするだけで抽出することができました、関連のIOCをまとめたもの。
ハッシュ 330e8d23ab82e8a0ca6d166755408eb1
IPアドレス 94 [] 185 [。] 85 [] 122
マルウェアシグネチャ Trojan.Mdropper
Backdoor.Lancafdo.A
警告:クリックするか、このIPに直接接続しないでください。
ハッピーハンティング!

アクションでこれらのMaltegoトランスフォームを参照してください

私は最近、この分析で使用Maltego変換のライブデモを発表した。 私がすることをお勧めします録音をつかむと、公共のWeb源はあなたがのIOCを明らかにどのように役立つかをじかに見る。



 ================================================================================================
 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

Die Entdeckung Sandworm IOCs Mit Recorded Future Maltego Transformationen

 Geschrieben von am 15. Oktober 2014 in Cyber ​​Threat Intelligence
 Sandworm Vulnerability
 Gestern veröffentlichte iSIGHT Partner einen Blog-Post kündigt die Entdeckung der CVE-2014-4114 , eine Zero-Day-Schwachstelle in einem russischen Cyber-Spionage-Kampagne verwendet. Die Kampagne wurde genannt Sandworm und es wird immer eine Menge Aufmerksamkeit über Social Media wie im Recorded Future Timeline unten gesehen.
Sandworm Social Media Timeline
Klicke auf die Grafik für eine größere Ansicht
Vor kurzem habe ich dargelegt, wie notierte Gebrauch Zukunft Maltego verwandelt den Indikatoren des Kompromisses (IOCs) von OSINT entdecken so beschloss ich, die Sandworm Anfälligkeit mit einem ähnlichen Ansatz analysieren.

Schritt-für-Schritt Überblick

Zuerst suche ich für die einzelnen Schwachstellen Einheit (CVE-2014-4114) in der iSIGHT Bericht erwähnt.
Sandworm Maltego Analyse
Dann habe ich laufen unsere VULN2RF verwandeln zu sehen, was Recorded Future "weiß" zu diesem CVE.
Sandworm Maltego Analyse
Wie erwartet, bekomme ich hoch Rückruf auf diese Abfrage in Recorded Future. Also für die Zwecke dieses Beispiel werde ich meine Maltego Reglerwert auf 255, um die Anzahl von Recorded Future Einheiten einzuschränken kehrte in mein Diagramm.
Sandworm Maltego Analyse
Jetzt, wo ich eine schöne Reihe von Recorded Future Einheiten, mit zu arbeiten, ist mein nächster Schritt, um für IOCs zu jagen. Also ich weiß nicht überfluten mein Graph, ich zum ersten Mal für die Hash-Werte mit böswillige exe-Dateien in der Sandworm Kampagne verwendet assoziiert zu suchen. Um dies zu tun, dass ich meine RF2HASH zu verwandeln.
Sandworm Maltego Analyse
Innerhalb von Sekunden, sehe ich einen Hash-Einheit in meiner Grafik zurück. Es scheint aus mehreren Tweets heute veröffentlichten extrahiert werden.
Sandworm Maltego Analyse
Zur Validierung dieser Hash ist relevant für meine Untersuchung, habe ich schnell bestätigt mit Virustotal der Hash ist tatsächlich bösartig.
Hinweis: Die Raute gerade Überprüfung vor 3 Stunden ab dem Zeitpunkt, lief ich die Abfrage angibt, das Potenzial für das, um einen frischen IOC, die andere vielleicht nicht zahlen Aufmerksamkeit auf noch werden.
Sandworm Virustotal Ergebnisse
Jetzt möchte ich wirklich sehen eine der Tweets, die den Hash enthalten. Ich kann dies aus Maltego tun.
Sandworm Maltego Analyse
Ich finde ein interessantes tweet, die sich auf dem Hash. Der Tweet bestätigt seine Zusammenarbeit mit der CVE und Twitter-Nutzer behauptet, eine Live-Probe von bösartigem Code zusammen mit einem in der ukrainischen Sprache geschrieben eingebettete Powerpoint-Präsentation zu haben.
Sandworm Hash Tweet
Mein nächster Schritt ist, um zu sehen, ob ich von Recorded Future alle bekannten Malware-Signaturen mit dieser Kampagne verbunden zu extrahieren. Ich benutze die RF2MALSIG verwandeln, dies zu tun.
Sandworm Maltego Analyse
Die Transformation ein drei Unterschriften.
Hinweis: Es gibt wahrscheinlich mehr, aber wir unseren Reglerwert auf 255 begrenzt, so beachten Sie, dies ist ein Probensatz von Daten für die Zwecke dieses Beispiels.
Sandworm Maltego Analyse
Als nächstes würde Ich mag, um zu sehen, ob ich irgendeine bekannte C & C oder anderen bösartigen IP-Adressen zu extrahieren. Dazu führe ich die RF2IP zu verwandeln.
Sandworm Maltego Analyse
Als nächstes möchte ich die IP-Adresse aus dem Tweet validieren mit Hilfe einer einfachen Virustotal Abfrage und, tatsächlich, ich beobachte es mit bösartigen Aktivitäten erst heute morgen in Verbindung gebracht! Möglicherweise eine C2?
Sandworm Virustotal Ergebnisse
Zoomen, finden wir einige große Indikatoren für eine Geschichte, die gerade heute bricht. Ich bin sicher, weitere werden bald beginnen IOCs auftauchen und ich erneut auszuführen meine Recorded Future verwandelt, sie zu entdecken müssen nur.
Sandworm Maltego Analyse
So wie bei jedem Maltego Untersuchung konnten wir laufen Transformationen und den Ausbau unserer Grafik fortsetzen. Für die Zwecke dieser Gliederung, werden wir hier aufhören, weil ich genügend Informationen, um einige proaktive Maßnahmen in meinem Sicherheitsvorgang auszuführen. Nach meinen Recherchen in Maltego kann ich jetzt zusammen eine Zeitleiste in Recorded Future Referenzierung der IOCs fand ich getan.
Sandworm IOCs Timeline
Klicke auf die Grafik für eine größere Ansicht
Also, was sind die nächsten Schritte?
  1. Ich habe ein paar IOCs kann ich nutzen, um den Nachweis Gehalt in meinem SIEM oder andere Netzwerksicherheitsüberwachung Plattformen erstellen.
  2. Ich kann diese IOCs als Suchkriterien intern gegen meinen Logs oder Pakete, um zu sehen, ob ich einen Hinweis Sandworm hat mein Netzwerk infiziert zu finden.
  3. Ich habe eine falsche IP-Adresse bekannt ist (so schlimm war es anscheinend von Twitter entfernt) kann ich sofort zu sperren.
  4. Ich kann in den IOCs entdeckte ich meine zusätzliche Fremdstecker oder homegrown Maltego verwandelt und weiter meine Analyse.
In dieser Tabelle sind die relevanten IOCs Ich konnte in nur wenigen Klicks zu extrahieren.
Hasch 330e8d23ab82e8a0ca6d166755408eb1
IP Address 94 [.] 185 [.] 85 [.] 122
Malware Signaturen Trojan.Mdropper
Backdoor.Lancafdo.A
Warnung: Klicken Sie nicht auf oder direkt an diese IP.
Viel Spaß beim Suchen!

Sehen Sie diese Maltego Transformationen in Action

Ich vor kurzem eine Live-Demo der Maltego verwandelt in dieser Analyse verwendet. Ich ermutige Sie, die Aufnahme zu greifen und sehen aus erster Hand, wie die öffentlichen Web-Quellen können Ihnen helfen, IOCs aufzudecken.



 ======================================================================================
 https://www.recordedfuture.com/sandworm-maltego-analysis/
 Recorded Future

Malkovrante Sandworm IOCs Kun Gravuraĵo Estonteco Maltego konvertoj

 Posted by oktobro 15, 2014 en Cyber ​​Threat Inteligenteco
 Sandworm Vulnerability
 Hieraŭ, iSight Partneroj publikigis blog anoncante la malkovro de CVE-2014-4114 , nulo-tago vundebleco uzita en rusa cyber-spionado kampanjon. La kampanjo estis nomita Sandworm kaj ĝi Fariĝas barelon da atenton tra sociaj rimedoj kiel ĝi vidas en la Gravuraĵo Future timeline sube.
Sandworm Socia Duona Templinio
Klaku bildon por pli granda vido
Mi ĵus skizita kiel uzi Gravuraĵo Estonteco Maltego transformas al malkovri indikiloj de kompromiso (IOCs) el OSINT do mi decidis analizi la Sandworm vulnerabilidad kun enfokusigas simila.

Paŝo post paŝo Outline

Unue mi serĉu la sola vulnerabilidad ento (CVE-2014-4114) mencias en la iSight raporto.
Sandworm Maltego Analizo
Tiam mi kuras nian VULN2RF konverto vidi kion Gravuraĵo Estonteco "scias" pri ĉi CVE.
Sandworm Maltego Analizo
Kiel estis de atendi, mi alvenas alta Recall sur tiu konsulto en Gravuraĵo Estonteco. Do por la celo de ĉi tiu ekzemplo, mi metos mian Maltego slider valoro 255 por limigi la nombron de Gravuraĵo Estonteco entoj revenis en mia grafikaĵo.
Sandworm Maltego Analizo
Nun ke mi havas belan aron de Gravuraĵo Estonteco entoj labori kun, mia sekva paŝo estas cxasi IOCs. Do mi ne inundi miajn grafeo, mi unue serĉi haketvaloro asociita kun malica ejecutables estante uzita en la Sandworm kampanjon. Por fari tion mi kuros mia RF2HASH konverto.
Sandworm Maltego Analizo
Ene duaj, Mi vidas hash ento revenis en mia grafikaĵo. Ĝi ŝajnas esti ekstraktita de pluraj tuits eldonitaj hodiaŭ.
Sandworm Maltego Analizo
Por validigi tiu hash estas adekvataj al mia esploro, mi rapide konfirmitaj per VirusTotal la hash estas fakte malica.
Notu: La hash ĵus analizis tri horojn post mia kuris la informpeto indikante la potencialo por ĉi esti freŝa COI ke aliaj ne estu fiksi ankoraŭ.
Sandworm VirusTotal Rezultoj
Nun mi volas reale vidi unu el la tweets kiu enhavis la hash. Mi povas fari tion ene Maltego.
Sandworm Maltego Analizo
Mi trovas interesan tweet raportante al la hash. La tweet konfirmas lia asocio kun la CVE kaj la uzanto de Twitter diras havi vivantan specimenon de malica kodo kune kun enigita PowerPoint prezenton skribita en ukraina lingvo.
Sandworm Hash Tweet
Mia venonta paŝo estas vidi se mi povas ĉerpi el Gravuraĵo Estonteco ajna konata malware subskribojn asociitaj kun tiu kampanjo. Mi uzas la RF2MALSIG konverto fari tion.
Sandworm Maltego Analizo
La konverto revenoj tri subskriboj.
Noto: Estas probable pli sed ni limigis nian slider valoro al 255, tiel konsideri ĉi estas specimeno aro de datumoj por la celo de ĉi tiu ekzemplo.
Sandworm Maltego Analizo
Venonta, mi ŝatus vidi se mi povas ĉerpi iujn konatajn C & C aŭ aliaj malicaj IP adresoj. Por fari tion mi kuri la RF2IP konverto.
Sandworm Maltego Analizo
Sekva, mi volas validigi la IP-adreso de la tweet uzante simplan VirusTotal query kaj, efektive, mi observas asociis kun malica aktiveco kiel ĵus kiel ĉimatene! Eble C2?
Sandworm VirusTotal Rezultoj
Zoom en, ni trovas iuj grandaj indikiloj por historio tio estas nur rompante hodiaŭ. Mi certas ke pli IOCs frue komencos popping supren kaj mi nur bezonos re-ekzekuti mia Gravuraĵo Estonteco transformas malkovri ilin.
Sandworm Maltego Analizo
Do kiel kun ajna Maltego esploro, ni povus daŭrigi funkciante konvertoj kaj ekspansiiĝante nia grafeo. Por la celo de ĉi tiu skemo, ni haltos ĉi tie kiam mi havas sufiĉan informon por ekzekuti iuj proactiva mezuroj en mia sekureco operacio. Farinte miajn esplorojn en Maltego mi povas nun armis timeline en Gravuraĵo Estonteco referenco la IOCs fondas.
Sandworm IOCs Templinio
Klaku bildon por pli granda vido
Do kio estas miaj proksimaj paŝoj?
  1. Mi havas kelkajn IOCs mi povas uzi por krei detección enhavon en mian Siem aŭ aliaj reto sekureco monitoreo platformoj.
  2. Mi povas uzi tiujn IOCs kiel serĉo kriterioj interne kontraŭ mia ŝtipoj aŭ pakojn vidi se mi trovas neniun indikon Sandworm infektis mian reton.
  3. Mi havas unu konata malbona IP adreso (tiel malbona estis ŝajne forigita de Twitter) mi povas tuj bloki.
  4. Mi povas ŝtopi en la IOCs mi malkovris mian aldonan triaj aŭ canteranos Maltego transformas kaj daŭrigi mian analizon.
Tiu tablo resumas la koncernajn IOCs mi povis ĉerpi en nur kelkaj klakoj.
Hash 330e8d23ab82e8a0ca6d166755408eb1
IP adreso 94 [.] 185 [.] 85 [.] 122
Malware Signatures Trojan.Mdropper
Backdoor.Lancafdo.A
Averto: Ne alklako aŭ konekti rekte al tiu IP.
Feliĉa ĉasado!

Vidu Tiuj Maltego transformas en Ago

Mi ĵus prezentis en vivas demo de la Maltego transformas uzis en tiu analizo. Mi kuraĝigas vin ekpreni la registrado kaj viglu unua mano kiel publika retejo fontoj povas helpi vin malkovri IOCs.



 ========================================================
 

 "This safety information must be shared, no matter where in the country / city.
The new network threats when Wie variation IMPACT to settle the safety of intelligence information,
Remember not to be taken lightly, beware supreme Oh ~
You will understand, brothers ^^ "
     Share with tiny MelodyRO Sincerely ~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

"這個安全資訊一定要分享,無論身處何方的國家/城市.
新的網絡威脅膸時變異,影晌至安家安危的情報訊息,
切記不要掉以輕心,慎防至上喔~
你會明白的,哥兒^^"
    同分享 渺小的 MelodyRO敬上~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

"이 안전 정보는 해당 국가 / 도시에 상관없이 공유되어야합니다.
미셸 위 변화 영향 지능 정보의 안전을 해결하기 위해 새로운 네트워크 위협,
가볍게 할 수 없습니다 기억, 최고 오 ~ 조심
당신은 형제를 이해합니다 ^^ "
      작은 MelodyRO와 공유 감사합니다 ~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

"Cette information de sécurité doit être partagée, ne importe où dans le pays / ville.
Les nouvelles menaces réseau lorsque Wie variation IMPACT pour régler la sécurité de l'information de l'intelligence,
Rappelez-vous de ne pas être prise à la légère, méfiez-vous suprême Oh ~
Vous l'aurez compris, frères ^^ "
      Partager avec petit MelodyRO Sincèrement ~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

「この安全情報はどこの国/都市に関係なく、共有はいけません。
ウィー変動の影響はインテリジェンス情報の安全性を解決するための新しいネットワークの脅威、
軽く取るべきではない覚えておいて、至高ああ〜を注意してください
あなたは、兄弟を理解します^^」
     小さなMelodyROを共有敬具〜


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

"Diese Sicherheitshinweise sind, wo in dem Land / Ort geteilt werden, egal.
Die neuen Netzwerkbedrohungen, wenn Wie Variation IMPACT die Sicherheit von Geheimdienstinformationen zu regeln,
Denken Sie daran, nicht auf die leichte Schulter genommen werden, Vorsicht oberstes Oh ~
Sie werden verstehen, Brüder ^^ "
      Teilen mit winzigen MelodyRO Grüßen ~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================

"Ĉi sekureco informo devas esti dividitaj, negrave kie en la lando / urbo.
La nova reto minacoj kiam Wie variado INFLUO migrigi la sekureco de inteligenteco informo,
Memori ne esti prenita senpripense, gardu superega Ho ~
Vi komprenos, fratoj ^^ "
      Kunhavigu kun eta MelodyRO Sincere ~


http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
==============================
 
---"This is published by * Recorded Future*---**find the trouble of international oil companies recorded a future Maltego transform** = publisher = * Dan -(15 October 2014 threat intelligence network)-you must cognitive ~-
---"這篇由*Recorded Future*發佈的---**發現沙蟲國際石油公司錄未來Maltego變換**=發布者= *丹·--(10月15日2014年 網絡威脅情報)-你們一定要認知~"-
---"이것은 * 녹화 미래에 의해 게시 * --- ** 국제 석유 회사의 문제를 찾아 미래 Maltego이 ** = 게시자를 변환 기록 = * 단 - (2014년 10월 15일 위협 정보 네트워크) - 당신이인지해야합니다 ~ "-
---"Ce est publié par * futurs comptabilisés * --- ** trouver la peine de compagnies pétrolières internationales a enregistré un avenir Maltego transformer ** == * éditeur Dan - (15 Octobre 2014 réseau Threat Intelligence) - vous devez cognitives ~ »-
**USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-
http://melody-free-shaing.blogspot.com/2014/11/this-is-published-by-recorded-future.html
---「これは*録画フューチャーによって公開されている* ---**国際石油会社のトラブルを見つける将来Maltegoは**=パブリッシャを変換記録した= *ダン - (2014年10月15日脅威インテリジェンスネットワーク) - あなたが認知しなければならない〜" -
--- "Dies wird durch * Recorded Future veröffentlicht * --- ** finden die Mühe der internationalen Ölgesellschaften erfasst eine Zukunft Maltego verwandeln ** = publisher = * Dan - (15. Oktober 2014 Threat Intelligence-Netz) - Sie müssen kognitive ~ "-
--- "Tio estas eldonita de Gravurita Estonteco * --- ** trovos la penon de internaciaj petrolkompanioj gravuris estonteco Maltego konverto ** = eldonisto = * Dan - (15 oktobro 2014 minaco inteligenteco reto) - vi devas kognitiva ~ "-
**USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-

===MelodyRO===THE   END===>/

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&




張貼者:
標籤:

沒有留言:

張貼留言

window.___gcfg = {
lang: 'zh-CN',
parsetags: 'onload'
};

訂閱: 張貼留言 (Atom)