Fathiah-0/Threat-Actor-Investigation-Profiling
GitHub: Fathiah-0/Threat-Actor-Investigation-Profiling
一个基于MISP的实战威胁情报调查项目,用于分析拉丁美洲网络间谍组织El Machete,包括IOC提取、MITRE ATT&CK映射和缓解建议。
Stars: 0 | Forks: 0
# 威胁行为体调查与分析:El Machete
### 基于 MISP 的网络威胁情报 | 国家 CERT 模拟演练
## 执行摘要
本项目记录了一次作为国家 CERT 模拟演练一部分而进行的实践性威胁情报调查。工作环境基于 Ubuntu 构建,使用 Docker 在本地部署了 MISP(恶意软件信息共享平台)。
加载了默认的威胁情报源,配置了自定义的 FireHOL 恶意 IP 源,并通过 MISP Web 界面审查了事件数据。
收集到的情报强烈指向 El Machete(APT-C-43 / G0095),这是一个长期活跃、主要使用西班牙语的网络间谍组织,据评估其基地位于拉丁美洲。该组织以高度定向的鱼叉式网络钓鱼、伪装的 .scr 和压缩文件、基于 Python 的间谍软件、长期驻留以及通过 FTP 和 HTTP 通道持续进行数据渗出为特征。
总体威胁等级评估为:**中高** — 尤其对公共部门、关键基础设施和政府组织而言。
## 引言
威胁情报通过帮助分析师了解对手是谁、如何运作、使用什么基础设施以及可以监控哪些指标来检测或预防入侵,从而支持防御性安全。
本项目是作为国家 CERT 模拟演练的一部分而进行的。五个团队分别被分配了五个据信是针对欧洲关键基础设施和政府机构的一系列攻击事件背后的疑似威胁行为体组之一。我们团队(第 2 组)被分配的是 El Machete。
完整工作流程涵盖:
- 在 Ubuntu 上使用 Docker 部署和配置 MISP
- 加载并启用真实世界的威胁情报源
- 提取和分析入侵指标 (IOC)
- 为 El Machete 构建完整的威胁行为体画像
- 将观察到的活动映射到 MITRE ATT&CK 框架
- 提供检测和缓解建议
## 方法与环境设置
调查环境准备在一台 **Ubuntu** 虚拟机上。设置过程涉及以下步骤:
### 1. 安装 Docker
```
# 添加 Docker 的官方 GPG 密钥
sudo apt-get update
sudo apt-get install ca-certificates curl
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc
# 添加 Docker 的仓库
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] \
https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
```
```
# 安装 Docker 软件包
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
```
### 2. 克隆 MISP Docker 仓库
```
sudo apt install git
git clone https://github.com/MISP/misp-docker
cd misp-docker/
cp template.env .env
```
```
# 拉取最新镜像
sudo docker compose pull
```
```
# 启动 MISP
sudo docker compose up -d
```
### 3. 访问 MISP
所有容器健康运行后,通过浏览器访问 MISP:
- URL:`http://localhost`
- 邮箱:`admin@admin.test`
- 密码:`admin`
## MISP 访问与源配置
部署完成后,通过 http://localhost 访问了 MISP 登录页面。从"源"页面加载了默认源元数据。只启用了前三个默认源。还启用了源缓存,以便事件数据可以存储在本地并在平台内查看。
### 默认源
启用默认源的步骤:
1. 点击 **Sync Actions**,然后选择 **Feeds**
2. 点击 **Load Default Feed Metadata**
3. 选择前三个源并点击 **Enable Selected**
4. 点击 **Enable Caching for Selected**
5. 点击 **Fetch All Events**
*图 5:MISP Feeds 页面,显示已启用的默认源*
### 自定义源 — FireHOL 恶意 IP
添加了一个自定义源,配置如下:
| 字段 | 值 |
|---|---|
| 源名称 | FireHOL Malicious IPs |
| 提供者 | FireHOL |
| 输入源 | 网络 |
| URL | https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset |
| 源格式 | Freetext |
| 分发范围 | 仅限您的组织 |
*图 6:自定义 FireHOL Malicious IPs 源配置*
### 自定义标签
创建了一个自定义标签来对源数据进行分类:
- **标签名称:** `feed-source:firehol`
- **创建于:** Event Actions → Tag Actions → Add Tag
- **用途:** 为从 FireHOL 源导入的事件添加标签,便于筛选
*图 7:应用于导入事件的自定义标签 feed-source:firehol*
## 数据收集与 IOC 提取
源配置完成后,通过 MISP Web 界面查询了事件并提取了指标数据。使用了"搜索属性"界面来验证导入的数据是否可查询并可用于威胁分析。
### 事件创建与验证
*图 8:FireHOL Malicious IPs 事件详情,显示事件 ID 547 和 feed-source:firehol 标签*
*图 10:用于在 MISP 内查询指标的"搜索属性"界面*
*图 11:筛选显示 El Machete 相关事件的事件列表*
### IOC 摘要
| IOC 类别 | 数量 |
|---|---|
| 目标 IP | 10 |
| 域名 | 3 |
| URL | 9 |
| 文件名 | 37 |
| MD5 哈希 | 99 |
| SHA256 哈希 | 57 |
### 关键指标
**目标 IP 地址(C2 基础设施)**
- 185.224.137.63
- 156.67.222.88
- 158.69.9.209
- 142.44.236.215
- 199.79.63.188
- 109.61.164.33
- 176.9.3.184
- 213.239.232.149
- 69.64.43.33
- 181.50.98.50
**域名**
- tobabean.expert
- koliast.com
- artyomt.com
**主机名**
- jristr.hopto.org
- lawyersofficial.mipropia.com
- mcsi.gotdns.ch
- djcaps.gotdns.ch
**示例恶意 URL**
- http://actualizacion.esy.es/Mision_Secreta_de_la_DINA_en_Washigton.rar
- http://cristianoo.esy.es/Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.zip
- http://informesanddocumentos.esy.es/semanario_en_marcha_1758_1.zip
**显著文件名**
- GoogleUpdate.exe / Chrome.exe / GoogleCrash.exe *(伪装成合法软件)*
- python27.exe / Python_27.exe
- 977_REG_IN_CO_012_V1.scr
- ORDENES_GENERALES.scr
- Mision_Secreta_de_la_DINA_en_Washigton.scr
### 分析
这些 IP 地址在历史上与 El Machete 的 C2 活动相关。这些 URL 被精心设计成类似于合法的西班牙语政府或媒体文档,但实际传递包含恶意软件的压缩档案。伪装成官方报告和司法通知的文件名反映了典型的社会工程学手段。像 GoogleUpdate.exe 和 Chrome.exe 这样的可执行文件名试图将恶意工具隐藏在熟悉的软件名称之后。大量 MD5 和 SHA256 哈希值证实了在多次攻击活动中有效载荷的复用。
## 威胁行为体画像:El Machete
### 身份与背景
| 属性 | 详情 |
|---|---|
| 又称 | APT-C-43, G0095 |
| 来源 | 拉丁美洲(评估) |
| 活跃时间 | 2010 年至今 |
| MITRE ATT&CK ID | G0095 |
| 动机 | 网络间谍/战略情报收集 |
| 技术复杂度 | 低到中,但持续且有适应性 |
El Machete 是一个据评估位于拉丁美洲的西班牙语网络间谍组织。归属分析仍处于评估阶段而非正式确认,但语言证据、受害者画像和行动模式强烈暗示其起源于南美或中美洲。
该组织自 2010 年起至少保持活跃,并且在主要安全研究人员多次公开披露后仍保持运作。2014 年、2017 年、2019 年和 2020 年代初的公开报告显示其持续适应而非消失,这与一个持久性情报收集行为者相符。
### 动机
El Machete 主要受网络间谍活动和长期情报收集驱动。该组织反复瞄准军事、政府、外交和战略组织,而不是专注于勒索软件或直接银行欺诈等经济驱动的犯罪。
窃取的数据包括政府通信、军事文件、导航路线、地理定位数据、浏览器凭据和监控材料 — 强烈支持其间谍任务,而非简单的牟利。
### 已知目标与攻击活动
**主要目标行业:**
- 政府和军事机构
- 情报机构和大使馆
- 执法机构
- 电信供应商
- 能源组织
**地理焦点:**
- 委内瑞拉、厄瓜多尔、哥伦比亚、秘鲁、古巴、阿根廷、玻利维亚、尼加拉瓜
- 美国、俄罗斯、西班牙、德国、英国和亚洲也有报告受害者
**显著攻击活动:**
| 攻击活动 | 年份 | 描述 |
|---|---|---|
| Machete Campaign | 2014 | 针对拉丁美洲军事和政府目标的大规模攻击 |
| Sharpening the Machete | 2019 | 从委内瑞拉机构大规模渗出数据 |
| Russia-Ukraine Lures | 2022+ | 用作网络钓鱼诱饵的地缘政治主题诱饵文档 |
### 工具与恶意软件
**核心恶意软件:** Machete(又称 Pyark / Fpyark)
- 基于 Python 的模块化间谍软件
- 使用 PyInstaller 打包成 Windows 可执行文件
**记录的能力:**
- 键盘记录
- 屏幕捕获
- 音频和视频录制
- 浏览器凭据窃取
- 剪贴板监控
- 文件枚举和渗出
- 地理位置跟踪
**滥用的合法工具:**
- msiexec.exe
- wscript.exe
- certutil.exe
- 计划任务
## MITRE ATT&CK 映射
观察到的活动与已知的 El Machete 行为在多个 MITRE ATT&CK 战术上保持一致。
| 战术 | 技术 ID | 观察到的行为 |
|---|---|---|
| 初始访问 | T1566.001, T1566.002 | 携带恶意文件的鱼叉式网络钓鱼附件和链接 |
| 执行 | T1059.006, T1218.007 | Python 脚本、宏、批处理文件和基于 msiexec 的执行 |
| 持久化 | T1053.005, T1547.001 | 计划任务和注册表/启动项持久化 |
| 防御规避 | T1036.005, T1027 | 伪装成合法软件和代码混淆 |
| 收集 | T1056.001, T1113, T1125 | 键盘记录、屏幕截图、摄像头/音频捕获、浏览器数据窃取 |
| 命令与控制 | T1071.001, T1071.002 | 通过 HTTP 和 FTP 与攻击者基础设施通信 |
| 渗出 | T1041, T1052.001 | 通过 C2 通道和物理介质进行数据渗出 |
### IOC 到 TTP 的映射
| 观察到的 IOC 模式 | 可能的技术 | 分析含义 |
|---|---|---|
| 伪装成文档的 .scr 文件 | 鱼叉式网络钓鱼附件 | 受害者被诱骗运行看似合法文档的恶意软件 |
| 压缩档案下载 URL (.rar/.zip) | 恶意软件投递 / 用户执行 | 有效载荷隐藏在令人信服的诱饵后面 |
| GoogleUpdate.exe / Chrome.exe | 伪装 | 恶意软件伪装成受信任的软件以降低怀疑 |
| %AppData% 目录和计划任务 | 持久化 | 恶意组件在重启后仍能存活并维持访问 |
| 目标 IP 和轮换域名 | 命令与控制 | 基础设施支持远程控制和数据渗出 |
| 跨事件的重复哈希值 | 有效载荷复用 | 通过共享的恶意软件家族关联攻击活动 |
## 威胁评估
| 评估指标 | 值 |
|---|---|
| 威胁类型 | 高级持续性威胁 / 网络间谍 |
| 主要动机 | 战略情报收集 |
| 技术复杂度 | 低到中,但持续且有适应性 |
| 主要受害行业 | 政府、军事、外交、电信、能源 |
| 总体风险等级 | **中到高** |
El Machete 应被视为对管理政治、外交、军事或战略有价值信息的组织构成中高威胁。该组织不依赖最先进的零日技术;然而,其有效性来自于持久性、可信的诱饵、定制化瞄准以及在受害者环境中长期保持隐蔽的能力。
该组织专注于间谍活动而非立即破坏,这增加了风险。在许多情况下,间谍行为者旨在在持续窃取信息的同时保持不被发现,这意味着业务影响可能包括数据泄露、情报损失、声誉损害和长期暴露。
## 检测与缓解建议
### 电子邮件安全
- 加强电子邮件安全控制,以检测和隔离可疑的压缩文件、可执行附件以及使用政府或军事主题文件名的社会工程信息
### 网络控制
- 阻止或密切监控本报告中确定的已知恶意 IP、域名和主机名
- 使用网络检测逻辑识别端口 21 上意外的 FTP 流量、到动态 DNS 域名的重复连接以及从高价值端点进行的异常数据上传
### 端点检测
- 监控不寻常的 .scr 文件执行以及可疑的压缩文件解压后启动可执行文件的行为
- 监控模仿合法软件名称(如 Chrome、GoogleUpdate、Java 或 Python)的进程
- 检查计划任务、启动项和 %AppData% 执行路径以查找持久化指标
- 部署具有针对键盘记录、屏幕截图捕获、浏览器凭据窃取和可疑出站 FTP 或 HTTP 活动的行为规则的 EDR 能力
### 用户意识
- 为敏感的政府或行政岗位工作人员提供专注于高度定向的鱼叉式网络钓鱼和文档诱饵攻击的培训
### 威胁情报
- 维护一个威胁情报流程,持续将新的 IOC 纳入监控工作流,并在获得新指标时重新检查历史日志
## 结论
本项目展示了 MISP 在结构化威胁情报工作中的实用价值。该平台被成功部署,配置了源,查询了事件,并以支持技术检测和威胁行为体画像分析的方式提取了指标数据。
审查的证据与 El Machete 高度吻合,这是一个结合了社会工程学、恶意软件伪装和针对战略目标进行长期数据收集的持久性间谍行为者。收集到的指标及其跨事件的关联为监控、搜捕和防御加固提供了可用的基础。
## 参考资料
- MITRE ATT&CK Group G0095 — https://attack.mitre.org/groups/G0095/
- ESET Research: Machete just got sharper (2019)
- CIRCL: OSINT Sharpening the Machete (2019)
- CIRCL: El Machete Malware Attacks Cut Through LATAM (2017)
- FireHOL Blocklist — https://github.com/firehol/blocklist-ipsets
- MISP Project — https://www.misp-project.org
```
# 安装 Docker 软件包
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
```
### 2. 克隆 MISP Docker 仓库
```
sudo apt install git
git clone https://github.com/MISP/misp-docker
cd misp-docker/
cp template.env .env
```
```
# 拉取最新镜像
sudo docker compose pull
```
```
# 启动 MISP
sudo docker compose up -d
```
### 3. 访问 MISP
所有容器健康运行后,通过浏览器访问 MISP:
- URL:`http://localhost`
- 邮箱:`admin@admin.test`
- 密码:`admin`
## MISP 访问与源配置
部署完成后,通过 http://localhost 访问了 MISP 登录页面。从"源"页面加载了默认源元数据。只启用了前三个默认源。还启用了源缓存,以便事件数据可以存储在本地并在平台内查看。
### 默认源
启用默认源的步骤:
1. 点击 **Sync Actions**,然后选择 **Feeds**
2. 点击 **Load Default Feed Metadata**
3. 选择前三个源并点击 **Enable Selected**
4. 点击 **Enable Caching for Selected**
5. 点击 **Fetch All Events**
*图 5:MISP Feeds 页面,显示已启用的默认源*
### 自定义源 — FireHOL 恶意 IP
添加了一个自定义源,配置如下:
| 字段 | 值 |
|---|---|
| 源名称 | FireHOL Malicious IPs |
| 提供者 | FireHOL |
| 输入源 | 网络 |
| URL | https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset |
| 源格式 | Freetext |
| 分发范围 | 仅限您的组织 |
*图 6:自定义 FireHOL Malicious IPs 源配置*
### 自定义标签
创建了一个自定义标签来对源数据进行分类:
- **标签名称:** `feed-source:firehol`
- **创建于:** Event Actions → Tag Actions → Add Tag
- **用途:** 为从 FireHOL 源导入的事件添加标签,便于筛选
*图 7:应用于导入事件的自定义标签 feed-source:firehol*
## 数据收集与 IOC 提取
源配置完成后,通过 MISP Web 界面查询了事件并提取了指标数据。使用了"搜索属性"界面来验证导入的数据是否可查询并可用于威胁分析。
### 事件创建与验证
*图 8:FireHOL Malicious IPs 事件详情,显示事件 ID 547 和 feed-source:firehol 标签*
*图 10:用于在 MISP 内查询指标的"搜索属性"界面*
*图 11:筛选显示 El Machete 相关事件的事件列表*
### IOC 摘要
| IOC 类别 | 数量 |
|---|---|
| 目标 IP | 10 |
| 域名 | 3 |
| URL | 9 |
| 文件名 | 37 |
| MD5 哈希 | 99 |
| SHA256 哈希 | 57 |
### 关键指标
**目标 IP 地址(C2 基础设施)**
- 185.224.137.63
- 156.67.222.88
- 158.69.9.209
- 142.44.236.215
- 199.79.63.188
- 109.61.164.33
- 176.9.3.184
- 213.239.232.149
- 69.64.43.33
- 181.50.98.50
**域名**
- tobabean.expert
- koliast.com
- artyomt.com
**主机名**
- jristr.hopto.org
- lawyersofficial.mipropia.com
- mcsi.gotdns.ch
- djcaps.gotdns.ch
**示例恶意 URL**
- http://actualizacion.esy.es/Mision_Secreta_de_la_DINA_en_Washigton.rar
- http://cristianoo.esy.es/Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.zip
- http://informesanddocumentos.esy.es/semanario_en_marcha_1758_1.zip
**显著文件名**
- GoogleUpdate.exe / Chrome.exe / GoogleCrash.exe *(伪装成合法软件)*
- python27.exe / Python_27.exe
- 977_REG_IN_CO_012_V1.scr
- ORDENES_GENERALES.scr
- Mision_Secreta_de_la_DINA_en_Washigton.scr
### 分析
这些 IP 地址在历史上与 El Machete 的 C2 活动相关。这些 URL 被精心设计成类似于合法的西班牙语政府或媒体文档,但实际传递包含恶意软件的压缩档案。伪装成官方报告和司法通知的文件名反映了典型的社会工程学手段。像 GoogleUpdate.exe 和 Chrome.exe 这样的可执行文件名试图将恶意工具隐藏在熟悉的软件名称之后。大量 MD5 和 SHA256 哈希值证实了在多次攻击活动中有效载荷的复用。
## 威胁行为体画像:El Machete
### 身份与背景
| 属性 | 详情 |
|---|---|
| 又称 | APT-C-43, G0095 |
| 来源 | 拉丁美洲(评估) |
| 活跃时间 | 2010 年至今 |
| MITRE ATT&CK ID | G0095 |
| 动机 | 网络间谍/战略情报收集 |
| 技术复杂度 | 低到中,但持续且有适应性 |
El Machete 是一个据评估位于拉丁美洲的西班牙语网络间谍组织。归属分析仍处于评估阶段而非正式确认,但语言证据、受害者画像和行动模式强烈暗示其起源于南美或中美洲。
该组织自 2010 年起至少保持活跃,并且在主要安全研究人员多次公开披露后仍保持运作。2014 年、2017 年、2019 年和 2020 年代初的公开报告显示其持续适应而非消失,这与一个持久性情报收集行为者相符。
### 动机
El Machete 主要受网络间谍活动和长期情报收集驱动。该组织反复瞄准军事、政府、外交和战略组织,而不是专注于勒索软件或直接银行欺诈等经济驱动的犯罪。
窃取的数据包括政府通信、军事文件、导航路线、地理定位数据、浏览器凭据和监控材料 — 强烈支持其间谍任务,而非简单的牟利。
### 已知目标与攻击活动
**主要目标行业:**
- 政府和军事机构
- 情报机构和大使馆
- 执法机构
- 电信供应商
- 能源组织
**地理焦点:**
- 委内瑞拉、厄瓜多尔、哥伦比亚、秘鲁、古巴、阿根廷、玻利维亚、尼加拉瓜
- 美国、俄罗斯、西班牙、德国、英国和亚洲也有报告受害者
**显著攻击活动:**
| 攻击活动 | 年份 | 描述 |
|---|---|---|
| Machete Campaign | 2014 | 针对拉丁美洲军事和政府目标的大规模攻击 |
| Sharpening the Machete | 2019 | 从委内瑞拉机构大规模渗出数据 |
| Russia-Ukraine Lures | 2022+ | 用作网络钓鱼诱饵的地缘政治主题诱饵文档 |
### 工具与恶意软件
**核心恶意软件:** Machete(又称 Pyark / Fpyark)
- 基于 Python 的模块化间谍软件
- 使用 PyInstaller 打包成 Windows 可执行文件
**记录的能力:**
- 键盘记录
- 屏幕捕获
- 音频和视频录制
- 浏览器凭据窃取
- 剪贴板监控
- 文件枚举和渗出
- 地理位置跟踪
**滥用的合法工具:**
- msiexec.exe
- wscript.exe
- certutil.exe
- 计划任务
## MITRE ATT&CK 映射
观察到的活动与已知的 El Machete 行为在多个 MITRE ATT&CK 战术上保持一致。
| 战术 | 技术 ID | 观察到的行为 |
|---|---|---|
| 初始访问 | T1566.001, T1566.002 | 携带恶意文件的鱼叉式网络钓鱼附件和链接 |
| 执行 | T1059.006, T1218.007 | Python 脚本、宏、批处理文件和基于 msiexec 的执行 |
| 持久化 | T1053.005, T1547.001 | 计划任务和注册表/启动项持久化 |
| 防御规避 | T1036.005, T1027 | 伪装成合法软件和代码混淆 |
| 收集 | T1056.001, T1113, T1125 | 键盘记录、屏幕截图、摄像头/音频捕获、浏览器数据窃取 |
| 命令与控制 | T1071.001, T1071.002 | 通过 HTTP 和 FTP 与攻击者基础设施通信 |
| 渗出 | T1041, T1052.001 | 通过 C2 通道和物理介质进行数据渗出 |
### IOC 到 TTP 的映射
| 观察到的 IOC 模式 | 可能的技术 | 分析含义 |
|---|---|---|
| 伪装成文档的 .scr 文件 | 鱼叉式网络钓鱼附件 | 受害者被诱骗运行看似合法文档的恶意软件 |
| 压缩档案下载 URL (.rar/.zip) | 恶意软件投递 / 用户执行 | 有效载荷隐藏在令人信服的诱饵后面 |
| GoogleUpdate.exe / Chrome.exe | 伪装 | 恶意软件伪装成受信任的软件以降低怀疑 |
| %AppData% 目录和计划任务 | 持久化 | 恶意组件在重启后仍能存活并维持访问 |
| 目标 IP 和轮换域名 | 命令与控制 | 基础设施支持远程控制和数据渗出 |
| 跨事件的重复哈希值 | 有效载荷复用 | 通过共享的恶意软件家族关联攻击活动 |
## 威胁评估
| 评估指标 | 值 |
|---|---|
| 威胁类型 | 高级持续性威胁 / 网络间谍 |
| 主要动机 | 战略情报收集 |
| 技术复杂度 | 低到中,但持续且有适应性 |
| 主要受害行业 | 政府、军事、外交、电信、能源 |
| 总体风险等级 | **中到高** |
El Machete 应被视为对管理政治、外交、军事或战略有价值信息的组织构成中高威胁。该组织不依赖最先进的零日技术;然而,其有效性来自于持久性、可信的诱饵、定制化瞄准以及在受害者环境中长期保持隐蔽的能力。
该组织专注于间谍活动而非立即破坏,这增加了风险。在许多情况下,间谍行为者旨在在持续窃取信息的同时保持不被发现,这意味着业务影响可能包括数据泄露、情报损失、声誉损害和长期暴露。
## 检测与缓解建议
### 电子邮件安全
- 加强电子邮件安全控制,以检测和隔离可疑的压缩文件、可执行附件以及使用政府或军事主题文件名的社会工程信息
### 网络控制
- 阻止或密切监控本报告中确定的已知恶意 IP、域名和主机名
- 使用网络检测逻辑识别端口 21 上意外的 FTP 流量、到动态 DNS 域名的重复连接以及从高价值端点进行的异常数据上传
### 端点检测
- 监控不寻常的 .scr 文件执行以及可疑的压缩文件解压后启动可执行文件的行为
- 监控模仿合法软件名称(如 Chrome、GoogleUpdate、Java 或 Python)的进程
- 检查计划任务、启动项和 %AppData% 执行路径以查找持久化指标
- 部署具有针对键盘记录、屏幕截图捕获、浏览器凭据窃取和可疑出站 FTP 或 HTTP 活动的行为规则的 EDR 能力
### 用户意识
- 为敏感的政府或行政岗位工作人员提供专注于高度定向的鱼叉式网络钓鱼和文档诱饵攻击的培训
### 威胁情报
- 维护一个威胁情报流程,持续将新的 IOC 纳入监控工作流,并在获得新指标时重新检查历史日志
## 结论
本项目展示了 MISP 在结构化威胁情报工作中的实用价值。该平台被成功部署,配置了源,查询了事件,并以支持技术检测和威胁行为体画像分析的方式提取了指标数据。
审查的证据与 El Machete 高度吻合,这是一个结合了社会工程学、恶意软件伪装和针对战略目标进行长期数据收集的持久性间谍行为者。收集到的指标及其跨事件的关联为监控、搜捕和防御加固提供了可用的基础。
## 参考资料
- MITRE ATT&CK Group G0095 — https://attack.mitre.org/groups/G0095/
- ESET Research: Machete just got sharper (2019)
- CIRCL: OSINT Sharpening the Machete (2019)
- CIRCL: El Machete Malware Attacks Cut Through LATAM (2017)
- FireHOL Blocklist — https://github.com/firehol/blocklist-ipsets
- MISP Project — https://www.misp-project.org标签:请求拦截, 逆向工具