FOFA资产拓线实战系列:COLDRIVER

最新推荐文章于 2024-07-14 17:50:02 发布
最新推荐文章于 2024-07-14 17:50:02 发布
阅读量282 收藏 4
点赞数 5
文章标签: ssl https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54960362/article/details/136714688
版权

图片

概述

COLDRIVER(也称为 UNC4057、Star Blizzard 和 Callisto),这是一个俄罗斯威胁组织,专注于针对非政府组织、前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。

本文尝试根据线索追踪COLDRIVER近期的活动痕迹,利用FOFA平台寻找COLDRIVER组织的痕迹,最终在FOFA平台上发现了2条与2024年1月18日公开的C2非常相似的数据。活动时间为2023年8月到10月期间。不过新发现的可疑IOC暂时没有发现未知资产的样本,但我们认为这两个IP存在高可疑性。

原始样本及C2地址收集

Google威胁分析小组在2024年1月18日公布了一篇关于APT组织 COLDRIVER 的钓鱼攻击分析文章。该文章发现在2023年8月到9月期间APT组织 COLDRIVER 处在活跃状态,并通过样本获取到了一个C2地址。

图片

通过该文章我们得到了最初的IOC信息

path:/ws
c2:45.133.216[.]15:3000

资产拓线

使用FOFA进行查询文中提到的C2地址:

图片

可以看到FOFA上更新时间为 2023-10-16 与报告报导时间比较接近。从该条FOFA数据发现有效的信息很少,只有端口为3000,协议TLS的banner信息以及存在证书这几点。​​​​​​​

1、端口为3000FOFA语法:port="3000"2、协议TLS banner信息FOFA语法:banner="\x15\x03\x03\x00\x02\x022"3、存在证书

通过以上几个已知信息想到几条可以去尝试拓线的思路。

通过3000端口和其端口的banner信息进行搜索以及通过是否存在相同的证书进行搜索。

拓线一:通过3000端口及端口的banner信息查询,发现17条记录16个IP。

banner="\x15\x03\x03\x00\x02\x022" && port="3000"

图片

观察这17条数据后发现他们端口及banner信息高度相似,但是还是存在明显的数据误报。所以仅仅通过banner跟端口这种方式去查找不行需要进一步添加条件,于是我们把证书条件也进行添加,得到了5条数据:

banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd"

图片

拓线二:通过证书查找,我们发现证书的 Organization:Internet Widgits Pty Ltd 应该是配置证书时的默认值。分析发现了一个较为关键的线索就是证书有效期。我们通过证书有效期跟证书默认组织名进行搜索

图片

cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

图片

搜索出来6个IP,这6个IP是我们认为证书信息高度一致。

小结:

将拓线一跟拓线二的数据组合碰撞一下得到3条数据

banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

图片

IP:45.133.216.15:300095.164.17.94:300089.19.211.240:3000

通过查看这三条数据被发现的时间,发现为2023年8月到2023年10月。恰好位于Google威胁分析小组认为该组织活跃的时间内。如下:

图片

图片

图片

验证

查询验证上述得到的3个IP。不过除了目前谷歌公布的IP 45.133.216.15:3000 我们并没有在在微步、奇安信、virustotal查询发现其他2个IP的相关情报及样本证明。详情如下:

图片

图片

图片

▌总结

利用FOFA平台寻找COLDRIVER组织的痕迹,最终在FOFA平台上发现了2条与2024年1月18日公开的C2非常相似的数据。活动时间为2023年8月到10月期间。不过新发现的可疑IOC暂时没有发现未知资产的样本,但我们认为这两个IP存在高可疑性。本次拓线语法如下:​​​​​​​

拓线FOFA语法一:banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd"拓线FOFA语法二:cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"最终语法:banner="\x15\x03\x03\x00\x02\x022" && port="3000" && cert="Internet Widgits Pty Ltd" && cert="2023-06-23 15:59 UTC"

▌引用

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

▌附录​​​​​​​

可疑地址:95.164.17.94:300089.19.211.240:3000C2地址:45.133.216.15:3000样本HASH(SHA256)0f6b9d2ada67cebc8c0f03786c442c61c05cef5b92641ec4c1bdd8f5baeb2ee1A949ec428116489f5e77cefc67fea475017e0f50d2289e17c3eb053072adcf24C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831dAc270310b5410e7430fe7e36a079525cd8724b002b38e13a6ee6e09b326f4847

FofaBot
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FOFA资产拓线实战系列:响尾蛇APT组织
weixin_54960362的博客
01-11 959
▌概述在我们的前几篇文章中,我们通过实际的案例,以更接近用户的角度分享和展示了如何使用FOFA进行资产拓线,收获了非常多反馈和好评。因此,我们决定将“FOFA资产拓线实战”打造成一个系列,不仅将展示更多的数据情报,也将分享更多的FOFA操作技巧。本篇文章通过分析已公开的5条IOC来对响尾蛇APT组织进行资产拓线,形成该组织的FOFA规则,并最终共获得。同时我们借助了奇安信威胁情报平台、微步在线和VirusTotal三款行业领先的工具进行了交叉验证。
Kafka配置SSL信道加密
Healer_银尘的博客
07-12 360
集群启动produce和consumer的配置如下。使用脚本生成SSL证书 执行ssl.sh。使用脚本生成SSL证书 执行ssl.sh。同步证书到其他broker。这里默认还是两个集群。
openssl等库降级到系统原生安装镜像版本
evolay的专栏
07-10 723
在安装开发库时,看到curl glib2 libcurl openssl库被更新了,这不是我想要的。降级到原来的安装镜像提供的低版本。
Seamlessly Manipulate SVG Files in Python
q2315702359的博客
07-11 427
  Aspose.SVG for Python via .NET is a comprehensive software development library that empowers developers working in Python to seamlessly manipulate and manage SVG (Scalable Vector Graphics) files. This on-premise class library integrates .NET functionalit
使用openssl生成自签名证书
super的博客
07-10 425
/CN= Common Name 域名或IP www.xxxx.com。#/O= Organization 组织或企业。# X.509证书包含三个文件:key,csr,crt。# -out server.key 生成的私钥文件名。# -genra 生成RSA私钥。# -subj 生成CSR证书的参数。# 生成CSR(证书签名请求)# -req 生成证书签名请求。# -out 生成的CSR文件。# 生成私钥(key文件)# -key 生成私钥文件。# -1024 私钥长度。
浪潮天启防火墙TQ2000远程配置方法SSL-V偏、L2xx 配置方法
wo325866145的博客
07-10 925
浪潮天启防火墙TQ2000 SSL-Vxx L2远程配置方法
SSL 证书错误:如何修复以及错误发生的原因
web_geek的博客
07-11 1004
要确认您的网站已安装SSL证书,一种方法是使用浏览器访问您的网站并查看地址栏。如果您的网站主机在主机提供商上并且有SSL错误,可能是因为没有Whois电子邮件连接到您的网站。导致SSL证书错误的因素有很多,包括证书过期、服务器配置错误、域名不匹配以及由不受信任或未知的证书颁发机构签发的证书。然而,如果您的SSL证书出现错误,您可能会得到一个“不安全”的标签,这可能会导致访问者失去对您网站的信任并转向竞争对手。如果证书是自签名的,它是由您的服务器生成的,而不是由证书颁发机构生成的。不同服务器的过程有所不同。
Docker 部署 Nginx 并在容器内配置申请免费 SSL 证书
心若有所向往,何惧道阻且长。
07-13 661
Docker 部署 Nginx 并在容器内配置申请免费 SSL 证书
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:841)
zzz12341的博客
07-10 330
【代码】[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:841)
如何使用Gunicorn配置SSL/TLS加密Web服务
weixin_41859354的博客
07-13 878
在现代Web服务中,确保数据传输的安全性是至关重要的。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是用于加密网络通信的协议,能够有效地保护数据传输的安全性。Gunicorn(Green Unicorn)是一个Python WSGI HTTP服务器,广泛用于部署Python Web应用。本文将详细介绍如何在Gunicorn中配置SSL/TLS,加密Web服务以确保数据安全。
Harbor企业docker私服安装及SSL安全访问配置
ningkangming的博客
07-10 1152
详细介绍harbor docker私服的搭建及SSL安全访问配置。
Nginx: Rewrite功能配置/Nginx反向代理/Nginx的安全控制SSL
07-11 190
我们在创建自己的站点时,可以通过很多中方式来有效的提供搜索引擎优化的程度。防盗链之前我们已经介绍过了相关的知识,在rewrite中的防盗链和之前将的原理其实都是一样的,只不过通过rewrite可以将防盗链的功能进行完善下,当出现防盗链的情况,我们可以使用rewrite将请求转发到自定义的一张图片和页面,给用户比较好的提示信息。通过对比,上下两次的日志记录,会发现虽然我们是客户端访问服务端,但是如何使用了代理,那么服务端能看到的只是代理发送过去的请求,这样的化,就使用Nginx实现了正向代理的设置。
国密证书(gmssl)在Kylin Server V10下安装
禅与代码的艺术
07-11 987
在Kylin Server V10下安装GmSSL
python实现openssl的EVP_BytesToKey及AES_256_CBC加解密算法
zmlovelx(帅得不敢出门 程序员群31843264)
07-10 284
python实现openssl EVP_BytesToKey(EVP_aes_256_cbc(), EVP_md5(), NULL, pass, passlen, 1, key, iv); 并实现AES 256 CBC加解密.
宝塔:如何开启面板ssl并更新过期ssl
一些平时在开发过程中遇到的常见问题,分享给大家
07-11 297
宝塔:如何开启面板ssl并更新过期ssl
js 请求blob:https:// 图片
lwdfzr的博客
07-12 564
方式164>c;for(c=0;t-t%3>c;xhr.send();""", uri)方式2xhr.send();});if(img){}else{
HTTP与HTTPS
最新发布
weixin_47503016的博客
07-14 215
是一种网络攻击方式,其中攻击者在通信双方之间秘密地中转和可能篡改他们的通信内容。攻击者可以拦截、窃听、修改或伪造信息,从而获取敏感数据或破坏通信的完整性。是用于在客户端(如浏览器)和服务器之间传输数据的两种协议。它们有一些相似点,但也有关键的区别。
搭建nginx https 反向代理 http tomcat服务实践。
yo_yolv
07-12 223
【代码】搭建nginx https 反向代理 http tomcat服务实践。
快速让网站从HTTP访问升级成HTTPS访问教程
2401_84891336的博客
07-12 284
免费申请https证书
HTTPS 加密流程全解析
weixin_73916358的博客
07-11 500
HTTPS 的加密流程是一个多步骤、协同工作的复杂过程,它融合了非对称加密和对称加密的优势,为我们在互联网上的敏感信息传输提供了严密的防护。HTTPS(HyperText Transfer Protocol Secure)作为一种安全的通信协议,通过复杂而精巧的加密流程,为我们的在线交流提供了可靠的保护。而在密钥交换过程中使用的非对称加密(如 RSA),虽然计算成本较高,但确保了对称密钥在不安全的网络环境中的安全交换。服务器接收到加密的对称密钥后,使用其私钥进行解密,从而获取到与客户端相同的对称密钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值