One Article Review
| Source |  AlienVault Lab Blog |
|---|---|
| Identifiant | 8345218 |
| Date de publication | 2023-06-14 10:00:00 (vue: 2023-06-14 10:06:24) |
| Titre | Menage Hunt: Killnet \\'s DDOS Head Flood Attacks - CC.py Threat Hunt: KillNet\\'s DDoS HEAD Flood Attacks - cc.py |
| Texte | Résumé de l'exécutif
Killnet est un groupe avancé de menace persistante (APT) basé en Russie qui est actif depuis au moins 2015. Le groupe est connu pour ses attaques très sophistiquées et persistantes contre un éventail diversifié d'industries, y compris les gouvernements publics et locaux, les télécommunicationset défense.
Killnet a été lié à plusieurs attaques de haut niveau, notamment le piratage de 2016 du Comité national démocrate (DNC) lors de l'élection présidentielle américaine.Le groupe a également été impliqué dans les attaques de déni de service distribué (DDOS) contre les aéroports américains et le service à large bande satellite d'Elon Musk \\. .
Les motivations derrière ces attaques varient, mais récemment, ils ont principalement ciblé ceux qui sont les partisans les plus vocaux de l'Ukraine et de son agenda politique.
Le but de cette chasse à la menace est de créer un environnement d'attaque virtuel qui simule les tactiques, techniques et procédures de Killnet \\ (TTPS).Par la suite, les détections et les requêtes de chasse aux menaces seront écrites pour identifier de manière proactive les TTP imités tout en compensant les limites des recherches historiques du CIO traditionnelles.
Les résultats de la chasse aux menaces comprendront des tableaux de bord de haut niveau, du code et des artefacts de réseau générés à partir de la plage d'attaque, qui sera utilisé pour expliquer comment une hypothèse a été formée.Les résultats contiendront également la pseudo et la logique de requête traduite dans un format qui peut être utilisé par des outils tels que Suricata, Snort, Splunk et Zeek.La sortie de la requête sera ensuite utilisée pour confirmer l'hypothèse initiale générée.
Artefacts de réseau
Pour imiter l'attaque, CC.py a été utilisé pour générer des demandes de tête continues contre un serveur Apache, reportez-vous à l'annexe A pour plus de détails.Une fois l'attaque lancée, le trafic logarithmique capturé a été examiné, comme le montre la figure 1 et la figure 2. Lors de l'examen du trafic HTTP Head, il a été découvert que les chiffres entre les gammes de 11-12 sont apparus après "Head /?"régulièrement.Ce modèle servira de base à notre première hypothèse, comme indiqué dans la section suivante.
La figure 3 contient également les journaux Apache générés sur le serveur car le script d'attaque continuait d'essayer d'accéder à différents fichiers dans & lsquo; / var / www / html / & rsquo;annuaire.Le script réitère dans un style de type de force brute, jusqu'à ce que les ressources CPU soient rendues épuisées par le volume de trafic pur.
Figure 1 & ndash; Wireshark - généré dynamiquement 11-12 chiffres
Figure 2 & ndash; Wireshark - Forged Referrer & amp;IPS anonymisé
Figure 3 & ndash;Splunk & ndash;Journaux d'erreur du serveur Apache & ndash;Échec des tentatives d'accès au fichier
Guide de détection
Les expressions régulières compatibles Perl peuvent être utilisées pour tirer parti du contexte dérivé de la capture de paquets lors de l'analyse des menaces, comme le montre la figure 1. Cela nous permet d'écrire des règles de suricata / reniflement qui correspondent aux modèles observés dans les en-têtes.Les détections ont tendance à évoluer plus que les requêtes de chasse et peuvent être appliquées stratégiquement sur une base par capteur.Plus précisément, la règle suivante correspondra à n'importe q |
| Envoyé | Oui |
| Condensat | –down –f –m –s –url –v –wireshark /^head 12k+ 1|0d0a|host: 2015 2016 2020 a – access accordingly active activity additionally adjusted advanced adversary after against agenda aim airports alert alienvault alive|0d0a0d0a| allows also amount analysis anonymity anonymized any apache appeared appendix applied appropriate apt are arguments arguments: artifacts assets attack attacker attacks attempts automates available b – based basis been behalf behind between blocking breaks broadband brute bucket but called can capture captured characteristics charset: chunks code column com/ com/leeon123/cc com/pulse/642dd6df987a88229012d214 command committee common compatible compensating compromised concatenates confirm conn connections consistently contain containing contains content: context continuous control count cpu create created dashboards dataset date datetime datetime=strftime datetimeas days ddos defense democratic denial depicts depth:4; derived details detection detections different digits directory discovered distance:0; distance:1; distributed diverse dnc duration during dynamic dynamically election elon employed emulate emulated emulation environment error established eval event examined executive exhausted explain expressions failed fast figure file files first flood floods floods: flow following force forged forged/randomized format formed forward from function further generate generated governments group guidance hack has have head headers high highly historical how http http/1 http:// https://github https://otx https://securityresearch hunt hunt: hunting hypothesis identify implicated include including index=zeek indicators industries ineffective initial instance internet ioc iocs ips its keep kept killnet knocked language: last launch launched layer least level leverage limitations linked list listing local log logic logs looking maintaining match module more most motivations msg: musk national network next notorious observed offline once open orig otx outcomes outlined output over packet pattern pattern; patterns pcre: per performs perl persistent political presidential primarily proactively procedures process profile proxies proxy pseudo publicly pulse python python3 queries query range ranges recently refer references referrer regular reiterates relay rename render rendered request requests research resources results retroactively reviewing rule rules running russia samadkhawaja satellite scale script search searches second seconds section sensor serve server servers serves service sets several sheer short shown sid:10000001; simulates since snort sophisticated source sourcetype=zeek span=1s specifically specifies specify splunk starlink state statement stats strategically student style subsequently such summary supporters suricata suricata/snort tactics takes target targeted tcp techniques telecommunications tend than then these those threat threshold time tool tools traditional traffic translated trying ttps two txt type ukraine until upon usage use used uses using utilized utilized: utilizes variables various vary virtual vocal volume web when where which who will within within:3; write written x20 x20http/ zeek zeek/bro |0d0a|accept |0d0a|connection: |0d0a|referer: https:// |
| Tags | Hack Tool Threat |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.