Desire-George/misp-threat-intel-elmachete
GitHub: Desire-George/misp-threat-intel-elmachete
基于Docker部署MISP威胁情报平台,聚合OSINT情报源并针对El Machete APT组织进行系统性IOC提取与攻击手法分析的完整调查记录。
Stars: 0 | Forks: 0
# 🕵️♂️ 威胁情报调查:通过 MISP 调查 El Machete
## 📝 项目概述
本项目的目标是部署一个功能完善的威胁情报平台,使用 **MISP (Malware Information Sharing Platform)** 来聚合真实的情报源。利用该基础设施,我对高级持续性威胁 (APT) 组织 **El Machete** 进行了针对性的威胁情报调查,以检测入侵指标 并为组织的防御策略提供建议。
## ⚙️ 阶段 1:MISP 基础设施设置与 Feed 导入
### 1. 环境准备与部署
为确保 MISP 能够正常运行,我首先需要释放所需的网络端口并初始化 Docker 容器。
* **端口可用性检查:** 运行 `sudo ss -tulpn | grep :80` 以识别冲突的服务。
* **服务终止:** 使用 `sudo systemctl stop nginx` 停止了冲突的 Nginx 服务。
* **MISP 初始化:** 使用 `sudo docker compose up -d` 部署了 MISP 环境。
### 2. 启用默认情报 Feed
登录 MISP Web 界面后,我的下一步是用全球威胁数据填充数据库。
* 导航至 **Sync Actions > Feeds**。
* 选择了必要的 OSINT feed,启用了缓存,并执行了获取过程,以将所选 feed 中的所有当前事件加载到我的本地实例中。
### 3. 创建自定义 Feed (FireHOL Blocklist)
为了增强平台的检测能力,我整合了一个包含已知恶意 IP 的自定义 feed。
* 使用 **FireHOL blocklist** 创建了一个自定义 feed。
* 创建并附加了一个特定的 **Tag**,以便轻松地对源自此 feed 的事件进行分类和过滤。
* 点击 Event ID 并复制生成的 **UUID**。
### 4. 属性提取
为了验证自定义 feed 的导入情况,我使用了 Event Actions 下的 **Search Attributes** 功能。通过粘贴复制的 UUID,我成功检索到了结构化的属性列表,确认了恶意 IP 地址和域名的导入。
## 🔍 阶段 2:威胁行为者调查 (收集 IOC)
随着 MISP 基础设施全面投入运行,第二阶段的重点是提取与 **El Machete** 威胁行为者相关的可操作情报。
### 1. 查询威胁数据库
* 导航至 **Event Actions > List Events**。
* 使用关键词 `machete` 过滤数据库,查找历史和活跃的攻击活动。
* 识别出源自 **CIRCL** 和 **ESET** 情报源的高度相关事件(具体 Event ID 为:`1552`、`210` 和 `1107`)。
* 复制了这些特定事件的 UUID,并利用 Search Attributes 功能提取原始 IOC。
### 2. 提取的入侵指标
#### 🌐 网络基础设施 (C2 与投递)
**IP 地址 (ip-dst):**
`185.224.137.63`, `156.67.222.88`, `158.69.9.209`, `142.44.236.215`, `199.79.63.188`, `109.61.164.33`, `176.9.3.184`, `213.239.232.149`, `69.64.43.33`, `181.50.98.50`
**主机名与域名:**
该威胁行为者大量利用动态 DNS 和免费托管提供商来掩盖其命令与控制 (C2) 基础设施。
* `u929489355.hostingerapp.com`
* `6e24a5fb.ngrok.io`
* `lawyersofficial.mipropia.com`
* `tokeiss.ddns.net`
* `tobabean.expert`
#### 📁 载荷与恶意文件
该行为者利用西班牙语诱饵进行社会工程学攻击,通常使用双扩展名(例如 `.docx.scr`)伪装成军事或政府文件。
* `Aniversario_de_cascos_azules_ecuatorianos.docx.scr`
* `Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.scr`
* `GoogleUpdate.exe` (伪装成合法软件)
* `chrome.sfx.exe`
#### 🔗 投递 URL
载荷通常通过托管在受损或廉价域名上的 `.zip` 或 `.rar` 压缩包进行投递。
* `http://carolinaz25.esy[.]es/DECRETO_No_18_Duelo_Virgilio_Godoy_.rar`
* `http://cristianoo.esy[.]es/ROSARIO_EN_MULTINOTICIAS_13_ABRIL_2016.zip`
#### 🖥️ 基于主机的持久化指标
* `%AppData%\Desjr\jfxrt.exe`
* `%AppData%\unijr\kfxw.exe`
* `%AppData%\MicroDes\javaH.exe`
## 📊 分析师结论
基于收集到的 IOC,El Machete 运营着一个高度针对性的命令与控制 (C2) 和钓鱼基础设施。这些 IP 地址表明受损系统与 C2 服务器之间存在活跃的通信。已识别的 URL、主机名、文件名和域名正被积极用于促进鱼叉式钓鱼攻击。
一旦社会工程学载荷(通常是 `.rar` 压缩包内的 `.scr` 文件)被投递并安装,它就会在 `%AppData%` 目录中建立持久化,并开始向 C2 服务器进行信标传输以进行数据窃取。
### 2. 启用默认情报 Feed
登录 MISP Web 界面后,我的下一步是用全球威胁数据填充数据库。
* 导航至 **Sync Actions > Feeds**。
* 选择了必要的 OSINT feed,启用了缓存,并执行了获取过程,以将所选 feed 中的所有当前事件加载到我的本地实例中。
### 3. 创建自定义 Feed (FireHOL Blocklist)
为了增强平台的检测能力,我整合了一个包含已知恶意 IP 的自定义 feed。
* 使用 **FireHOL blocklist** 创建了一个自定义 feed。
* 创建并附加了一个特定的 **Tag**,以便轻松地对源自此 feed 的事件进行分类和过滤。
* 点击 Event ID 并复制生成的 **UUID**。
### 4. 属性提取
为了验证自定义 feed 的导入情况,我使用了 Event Actions 下的 **Search Attributes** 功能。通过粘贴复制的 UUID,我成功检索到了结构化的属性列表,确认了恶意 IP 地址和域名的导入。
## 🔍 阶段 2:威胁行为者调查 (收集 IOC)
随着 MISP 基础设施全面投入运行,第二阶段的重点是提取与 **El Machete** 威胁行为者相关的可操作情报。
### 1. 查询威胁数据库
* 导航至 **Event Actions > List Events**。
* 使用关键词 `machete` 过滤数据库,查找历史和活跃的攻击活动。
* 识别出源自 **CIRCL** 和 **ESET** 情报源的高度相关事件(具体 Event ID 为:`1552`、`210` 和 `1107`)。
* 复制了这些特定事件的 UUID,并利用 Search Attributes 功能提取原始 IOC。
### 2. 提取的入侵指标
#### 🌐 网络基础设施 (C2 与投递)
**IP 地址 (ip-dst):**
`185.224.137.63`, `156.67.222.88`, `158.69.9.209`, `142.44.236.215`, `199.79.63.188`, `109.61.164.33`, `176.9.3.184`, `213.239.232.149`, `69.64.43.33`, `181.50.98.50`
**主机名与域名:**
该威胁行为者大量利用动态 DNS 和免费托管提供商来掩盖其命令与控制 (C2) 基础设施。
* `u929489355.hostingerapp.com`
* `6e24a5fb.ngrok.io`
* `lawyersofficial.mipropia.com`
* `tokeiss.ddns.net`
* `tobabean.expert`
#### 📁 载荷与恶意文件
该行为者利用西班牙语诱饵进行社会工程学攻击,通常使用双扩展名(例如 `.docx.scr`)伪装成军事或政府文件。
* `Aniversario_de_cascos_azules_ecuatorianos.docx.scr`
* `Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.scr`
* `GoogleUpdate.exe` (伪装成合法软件)
* `chrome.sfx.exe`
#### 🔗 投递 URL
载荷通常通过托管在受损或廉价域名上的 `.zip` 或 `.rar` 压缩包进行投递。
* `http://carolinaz25.esy[.]es/DECRETO_No_18_Duelo_Virgilio_Godoy_.rar`
* `http://cristianoo.esy[.]es/ROSARIO_EN_MULTINOTICIAS_13_ABRIL_2016.zip`
#### 🖥️ 基于主机的持久化指标
* `%AppData%\Desjr\jfxrt.exe`
* `%AppData%\unijr\kfxw.exe`
* `%AppData%\MicroDes\javaH.exe`
## 📊 分析师结论
基于收集到的 IOC,El Machete 运营着一个高度针对性的命令与控制 (C2) 和钓鱼基础设施。这些 IP 地址表明受损系统与 C2 服务器之间存在活跃的通信。已识别的 URL、主机名、文件名和域名正被积极用于促进鱼叉式钓鱼攻击。
一旦社会工程学载荷(通常是 `.rar` 压缩包内的 `.scr` 文件)被投递并安装,它就会在 `%AppData%` 目录中建立持久化,并开始向 C2 服务器进行信标传输以进行数据窃取。标签:APT攻击, DAST, Docker, El Machete, ESC4, FireHOL, IOCs, Malware Information Sharing Platform, OSINT, 失陷标示, 威胁情报, 安全实验室, 安全运营, 安全防御评估, 实时处理, 容器化部署, 开发者工具, 恶意软件分析, 情报共享, 情报聚合, 扫描框架, 无线安全, 版权保护, 紫队, 网络安全, 请求拦截, 隐私保护, 高级持续性威胁