朝鲜国家赞助演员
2021年1月25日,谷歌的威胁分析小组公布了一名朝鲜国家赞助的演员的信息,该演员专门针对安全研究人员进行妥协。有关更多信息,请参阅必威体育西汉姆联官网Rapid7的博客文章.
Rapid7的管理检测和响应团队在InsightIDR中部署了妥协指标(IOCs)和基于行为的检测,根据以下情况发出警报:
- 文件中标识的IOC谷歌报告,包括域、url和哈希
- 报告中描述的PowerShell、Visual Studio项目和RunDLL32活动
检测规则
以下是一组规则,这些规则基于公开报告的与此恶意参与者相关的危害指标。展开每个部分以了解有关检测的更多详细信息。
可疑的DNS请求-朝鲜演员针对安全研究-域观察必威体育西汉姆联官网
描述
此检测标识一个请求,该请求用于解析公开报告的与此恶意参与者相关的域。恶意行为者可能会利用被破解的网站来达到恶意目的。
建议
调查DNS请求的来源。在Rapid7的博文中可以找到更多的内容:https://blog.rapid7.com/2021/01/26/state-sponsored-threat-actors-target-security-必威体育西汉姆联官网researchers/
斜接AT&CK技术
- 获得基础设施- T1583
- 域-T1583.001
- 妥协基础设施- T1584
- 域——T1584.001
可疑进程-朝鲜民主主义人民主义行动者目标安全研究-相关二进制执行必威体育西汉姆联官网
描述
此检测识别文件的执行,其中公开报告的哈希值与此恶意参与者关联。恶意参与者可能出于恶意目的使用通用系统管理工具。
建议
研究该进程的父进程,以及该进程或父进程派生的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
可疑进程- PowerShell确定操作系统
描述
此检测识别用于确定Windows版本和位的PowerShell。恶意参与者和脚本将执行此操作,以确定要部署到给定系统的负载。在2021年初被发现以安全研究人员为目标的朝鲜行为者使用了这一策略。必威体育西汉姆联官网
建议
检查生成命令的父进程,以及该进程或父进程可能生成的任何其他内容。如果此活动不是良性的或预期的,考虑将主机从已知的、好的源重建,并让用户更改密码。
斜接AT&CK技术
- 系统信息发现-T1082
可疑进程RunDLL32运行Visual Studio文件
描述
此检测标识用于从Visual Studio文件运行DLL的RundL32。这一策略已被恶意行为者观察到,特别是在2021年初被发现以安全研究人员为目标的朝鲜行为者。必威体育西汉姆联官网
建议
检查由加载dll的rundll32进程生成的任何进程,以及该进程的父进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
斜接AT&CK技术
- Rundll32-T1218.011
可疑Web请求-朝鲜参与者瞄准安全研究-观察到域必威体育西汉姆联官网
描述
此检测识别对公开报告为与此恶意参与者关联的域的请求。恶意参与者可能出于恶意目的危害网站。
建议
调查网页请求的来源。在谷歌的初始报告中可以找到更多的内容:https://blog.google/threat-analysis-group/new-campaign-targeting-security-必威体育西汉姆联官网researchers/
斜接AT&CK技术
- 获得基础设施- T1583
- 域-T1583.001
- 虚拟专用服务器- T1583.003
- 服务器-T1583.004
- 妥协基础设施- T1584
- 域——T1584.001
- 虚拟专用服务器- T1584.003
- 服务器- T1584.004