A Journey Through Adversary Infra Analysis - Learning to Pivot
最近,Fortinet 发布了一份安全公告,指出两个 CVE(CVE-2024–55591 和 CVE-2022–40684)正在被积极利用。我从威胁狩猎的视角开始入手,但由于公告中描述整体情况的细节较少,我转而进行对手基础设施分析,希望找到能够扩展可观测指标和攻击模式的关联线索。从 Fortinet 公告中的 IOC 出发,我逐步关联到 Arctic Wolf 的“Console Chaos”研究,并进一步转向可能与 Core Werewolf(也称为 PseudoGamaredon 或 Awaken Likho)威胁行为者组织存在关联的其他数据。
Fortinet 公告
当我第一次看到 Fortinet 公告中提到的常见可疑对象——回环地址和 Google DNS 时,我差点把咖啡洒了。但重新阅读公告并结合上下文后,我获得了一些新的视角,理解了为什么会提到这些内容。虽然我承认这些信息在特定上下文中可能很重要,但忽略了其中的“数值”部分,专注于报告中的其他 IOC。
理解基础设施分析
基础设施分析并不完全是威胁狩猎的一部分,但它能够辅助威胁狩猎研究。因此,它的范围与威胁情报分析师或网络犯罪分析师有所不同。这种分析帮助我们审视对手可能使用的系统、服务和网络,以及它们是如何被构建和关联的。 CSD0tFqvECLokhw9aBeRqj32MjZEkRbP4BmtnhmXRDUkHln2YpQjW9o38X3UqDR3vrmuqRyFUkRFh4E4UsPxHkVRQvVUDeKY5eUMFSvbi5pT3A9cJ2qEC0xEMMZTeCFIsEYvAr2FNrhMmtHCEnPnOQ==
