Skip to content

OSINT:威胁情报

本题考查开源情报收集与分析能力。

题目给了一个恶意情报的 hash 值,我们可以借助公开的威胁情报中心来完成此题。

这里我使用的是奇安信威胁情报中心VirusTotal

题目需要我们找到关于恶意文件的apt 组织名称通信 C2 服务器域名恶意文件编译时间(年-月-日)

APT 组织名称

奇安信威胁情报中心中,在首页我们就可以直接得到攻击组织的名称

攻击组织名称

VirusTotal:

在 Family labels 中显示多个标签,我们可以在社区进行进一步的确定。

攻击组织名称

在社区中,通过其他检测人员的确认确定 apt 家族名称。

apt 家族名称

通信 C2 服务器域名

奇安信威胁情报中心:

我们需要点击样本分析详情得到动态运行的详细内容。

样本分析详情

网络行为栏,我们可以得到域名

获得域名

VirusTotal:

BEHAVIOR - Activity Summary - Memory Patten Domains 中可以确定它的域名。

VirusTotal

恶意文件编译时间(年 - 月 - 日)

奇安信威胁情报中心:

基本信息 - Exiftool 文件元数据 - TimeStamp 代表恶意文件的编译时间

编译时间

VirusTotal:

DETAILS - History - Create Time 可以得知编译时间

编译时间