ghibz/notpetya-threat-intelligence

# notpetya-threat-intelligence 威胁情报分析 - NotPetya (2017) - Cyber Kill Chain / Diamond Model / MITRE ATT&CK 1. 执行摘要 NotPetya 是俄罗斯政府于 2017 年使用的一款网络武器，针对在乌克兰设有站点的多家公司发起攻击。该 payload 被注入到 M.E.DOC 中，这是一款乌克兰每家公司都用于税务的软件应用程序。一旦该应用程序被更新，它就会开始加密设备上的文件以及主引导记录 (MBR)，导致 OS 无法使用。它向用户显示了一个勒索软件界面，要求支付 300 美元，然而这只是徒劳，因为攻击的目的不是获取经济利益，而是破坏。NotPetya 使用了一些知名的 exploit，例如 MimiKatz、EternalBlue 和 EternalRomance，我将在下面深入探讨以进一步了解它们。 2. 归属分析 NotPetya 由 Sandworm（又名 APT44、Telebots、Voodoo Bear 等）创建和部署，这是 GRU（俄罗斯军事情报机构）下属的一个 APT (Advanced Persistent Threat) 和网络战部队。他们不仅因为 NotPetya 攻击而闻名，还涉嫌策划了其他事件，例如 2015、2016 和 2022 年的乌克兰电网黑客攻击、2018 年冬奥会的破坏活动等。 3. 影响与范围 ← 100 亿美元损失，受影响的公司，乌克兰及全球 4. 仓库内容 ← 此仓库包含哪些文件以及各自的用途 5. 使用的框架 ← 关于 Kill Chain、Diamond 和 ATT&CK 的简要说明 6. 来源与参考 ← 你的 ESET、CISA、Microsoft、Mandiant 链接

标签：APT分析, Cyber Kill Chain, Diamond Model, Web报告查看器, XXE攻击, 勒索软件, 威胁情报, 安全, 开发者工具, 超时处理, 防御加固