OSINT:威胁情报
本题考查开源情报收集与分析能力。
题目给了一个恶意情报的 hash 值,我们可以借助公开的威胁情报中心来完成此题。
这里我使用的是奇安信威胁情报中心和 VirusTotal。
题目需要我们找到关于恶意文件的apt 组织名称、通信 C2 服务器域名、恶意文件编译时间(年-月-日)
APT 组织名称
奇安信威胁情报中心中,在首页我们就可以直接得到攻击组织的名称

VirusTotal:
在 Family labels 中显示多个标签,我们可以在社区进行进一步的确定。

在社区中,通过其他检测人员的确认确定 apt 家族名称。

通信 C2 服务器域名
奇安信威胁情报中心:
我们需要点击样本分析详情得到动态运行的详细内容。

在网络行为栏,我们可以得到域名

VirusTotal:
在 BEHAVIOR - Activity Summary - Memory Patten Domains 中可以确定它的域名。

恶意文件编译时间(年 - 月 - 日)
奇安信威胁情报中心:
在基本信息 - Exiftool 文件元数据 - TimeStamp 代表恶意文件的编译时间

VirusTotal:
在DETAILS - History - Create Time 可以得知编译时间
