别人的溯源分析案例

对于溯源分析来说,网络基础分析是还原攻击者攻击路径以及发现攻击者蛛丝马迹的重点,无论是78*20还是61**8的报告,亦或是我们追踪他国的APT组织(白象、海莲花、撒拉路等),PassiveDNS、域名WHOIS、IP归属等要素都是分析的要点,结合网络基础的复用(主要指域名、邮箱、IP/VPS等)和样本同源性分析关联一个组织。下面这个报告从网络基础复用的角度比较详细的分析并关联了攻击组织,值得一看。

重点john doe 老哥贴在这里:

1.1 1

  1. 2013-11-20 snecma.fr的NS被黑客改成了 ns1.acfine.net ns2.acfine.net
  2. 黑客复用上述NS
  3. 2014-8-10 GuangMinX.org (轮zi网站)的NS指向ns1.acfine.net
  4. 2014-4-15 makerbot.com (3D打印厂商,洛克希德马丁使用此厂商技术方案) NS指向ns1.acfine.net
  5. 2013-8-13 auspost.com.au (澳大利亚邮政) NS指向ns1.acfine.net

1.2 2

  1. 2012-11-11 microsoft.co.kr的NS被黑客改成了 ns0.nscomdomain.com ns1.nscomdomain.com
  2. 黑客复用上述NS
  3. 2012-10-08 minghuX.or.kr 指向ns0.nscomdomain.com
  4. 2012-10-09 shinchonji.kr(韩国邪教) 指向 ns0.nscomdomain.com
  5. 2012-10-24 logickorea.co.ki 指向 ns0.nscomdomain.com
  6. 2013-2-27 kftc.or.kr(韩国在线支付领域翘楚) 指向 ns0.nscomdomain.com
  7. 2013-2-27 honeywell.co.kr 指向ns0.nscomdomain.com

好好看这里:https://cyberthreatintelligenceblog.wordpress.com/2018/11/16/c0ld-case-from-aerospace-to-chinas-interests/

发表评论

电子邮件地址不会被公开。 必填项已用*标注