ערכת לימוד: איסוף בינה ותשתית של איומים

חשוב

ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף

ערכת לימוד זו תנחה אותך לאורך האופן שבו ניתן לבצע מספר סוגים של חיפושי מחוונים ולאסוף איומים ובינה יריבה באמצעות בינת איומים של Microsoft Defender (Defender TI) בפורטל Microsoft Defender.

דרישות מוקדמות

• חשבון microsoft Microsoft Entra מזהה אישי או אישי. כניסה או יצירת חשבון

• רשיון Defender TI Premium.

  הערה

  משתמשים ללא רשיון Defender TI Premium עדיין יוכלו לגשת להצעות החינמי של Defender TI.

כתב ויתור

Defender TI עשוי לכלול תצפיות בזמן אמת ומחווני איומים בזמן אמת, כולל תשתית זדונית וכלי איומים של תואר הפועל. כל כתובת IP וחיפושי תחומים בתוך Defender TI בטוחים לחיפוש. Microsoft משתפת משאבים מקוונים (לדוגמה, כתובות IP, שמות תחומים) שנחשבים לאיומים אמיתיים מהווה סכנה ברורה ומציגה. אנו מבקשים ממך להשתמש בשיקול דעת מיטבי ולמזער את הסיכון המיותר במהלך אינטראקציה עם מערכות זדוניות בעת ביצוע ערכת הלימוד הבאה. Microsoft ממזערת סיכונים על-ידי הגדרת כתובות IP, מארחים ותחום זדוניים.

לפני שתתחיל

כפי שכתב הוויתור מציין קודם לכן, מחוונים חשודים זדוניים מוגדרים כברירת מחדל עבור בטיחותך. הסר סוגריים מרובעים מכתובות IP, תחומים ומארחים בעת חיפוש ב- Defender TI. אל תחפש מחוונים אלה ישירות בדפדפן.

ביצוע חיפושים באמצעות מחוונים ואיסוף איומים ואינטיליגנציה של תואר הפועל

ערכת לימוד זו מאפשרת לך לבצע סידרת שלבים לשרשרת התשתית יחד מחווני פשרה (IOCs) הקשורים להפרת Magecart ולאסוף איומים ובינה יריבה לאורך הדרך.

שרשרת תשתית משתמשת באופי האינטרנט המחובר ביותר כדי להרחיב IOC אחד לרבים בהתבסס על פרטים חופפים או מאפיינים משותפים. בניית רשתות תשתית מאפשרת לציידי איומים או למגיבים לתקריות לפרופיל נוכחות דיגיטלית של תואר הפועל ולהסתובב במהירות בין קבוצות נתונים אלה כדי ליצור הקשר סביב מקרה או חקירה. בנוסף, רשתות תשתית מאפשרות מיון, התראה ופעולה יעילים יותר של אירועים בתוך הארגון.

אנשים רלוונטיים: אנליסט בינת איומים, צייד איומים, משיב לתקריות, אנליסט תפעול אבטחה

רקע על הפרת זכוכית מגדלת

Microsoft פטמה פרופילים ועקבה אחר הפעילויות של Magecart, סינדיקציה של קבוצות פשעי סייבר מאחורי מאות הפרות של פלטפורמות קמעונאיות מקוונות. Magecart מחדיר קבצי Script, אשר גונבים את הנתונים הרגישים שצרכנים נכנסים בטפסים לתשלום מקוון, באתרי מסחר אלקטרוני ישירות או דרך הספקים שלהם שנחשף לסכנה.

באוקטובר 2018, Magecart חדר לאתר האינטרנט המקוון של MyPillow, mypillow[.] com, כדי לגנוב פרטי תשלום על-ידי הזרקת קובץ Script לחנות האינטרנט שלהם. קובץ ה- Script מתארח בתחום שגיאת הקלדה mypiltow[.] com.

הפרת MyPillow הייתה התקפה דו-שלבית, כאשר הסמן הראשון היה פעיל רק לזמן קצר לפני שזוהה לא חוקי והוסר. עם זאת, לתוקפים עדיין היתה גישה לרשת של MyPillow וב- 26 באוקטובר 2018, Microsoft התצפתה שהם רשמו תחום חדש, livechatinc[.] ארגון (ארגון)

שחקני Magecart רושמת בדרך כלל תחום שנראה דומה ככל האפשר לתחום החוקי. לכן, אם אנליסט בודק את קוד JavaScript, הוא עלול להחמיץ את כתב ה- Script של Magecart ש לוכיה את פרטי התשלום בכרטיס אשראי ודוחף אותו לתשתית של עצמו של Magecart. עם זאת, המשתמשים הווירטואליים של Microsoft לוכדים את מודל אובייקטי המסמך (DOM) ומצאו את כל הקישורים הדינאמיים והשינויים שבוצעו על-ידי JavaScript מהסריקה בקצה העורפי. אנחנו יכולים לזהות את הפעילות ולאתר בסיכות את התחום המזויף שאירוח את קובץ ה- Script שהזריק לתוך MyPillow webstore.

איסוף מידע על איומי הפרה של Magecart

בצע את השלבים הבאים בדף של סייר Intel בפורטל Defender כדי לבצע שלשלאות תשתית ב - mypillow[.] com.

1. גש לפורטל Defender והשלם את תהליך האימות של Microsoft. קבל מידע נוסף על פורטל Defender

2. נווט אל Threat intelligence>Intel explorer.

3. חיפוש mypillow[.] com בסרגל החיפוש של Intel explorer. אתה אמור לראות את המאמר צרכנים עלולים לאבד שינה על פני שתי הפרות Magecart המשויכות לתחום זה.

   

4. בחר את המאמר. המידע הבא אמור להיות זמין לגבי קמפיין קשור זה:

   • מאמר זה פורסם ב- 20 במרץ 2019.
   • הוא מספק תובנות לגבי האופן בו קבוצת מעוררי האיומים של Magecart הפרה את MyPillow באוקטובר 2018.

5. בחר את הכרטיסיה מחוונים ציבוריים במאמר. הוא אמור להוסיף לרשימה את רכיבי ה- IOC הבאים:

   • amerisleep.github[.] io
   • cmytuok[.] העליון
   • livechatinc[.] הארגוני
   • mypiltow[.] Com

6. חזור אל סרגל החיפוש של סייר Intel , בחר הכל ברשימה הנפתחת ובצע שאילתה על mypillow[.] com שוב.

7. בחר בכרטיסיה זוגות מארחים של תוצאות החיפוש. זוגות מארחים חושפים חיבורים בין אתרי אינטרנט שמקורות נתונים מסורתיים, כגון מערכת שמות תחומים פאסיבית (pDNS) ו- WHOIS, לא יתחשוףו. הם גם מאפשרים לך לראות היכן נעשה שימוש במשאבים שלך ולהיפך.

8. מיין את זוגות המארחים לפי 'נראה לראשונה', וסנן לפי script.srcכגורם. עבור לדף עד שתמצא קשרי גומלין של זוגות מארחים שבוצעו באוקטובר 2018. שים לב ש-mypillow[.] com מושך תוכן מהתחום הכתיב, mypiltow[.] ב - 3-5 באוקטובר 2018 באמצעות תסריט.

   

9. בחר בכרטיסיה רזולוציות ובצע סיבוב על כתובת ה- IP ש- mypiltow[.] com נפתרה עד באוקטובר 2018.

   

   חזור על שלב זה עבור mypillow[.] com. עליך בחין בהבדלים הבאים בין כתובות ה- IP של שני התחומים באוקטובר 2018:

   • כתובת ה- IP mypiltow[.] com נפתרה ל- 195.161.41[.] 65, מתארח ברוסיה.

     

   • שתי כתובות ה- IP השתמשו במספר מערכת אוטונום שונה (ASNs).

     

10. בחר את הכרטיסיה סיכום וגלול מטה למקטע מאמרים. אתה אמור לראות את המאמרים הבאים שפורסמו הקשורים ל- mypiltow[.] com:

    • RiskIQ: כתובות URL של Magecart מוזרקות ו- C2 תחומים, 3-14 ביוני 2022
    • RiskIQ: Magecart מוזרק כתובות URL ו- C2 תחומים, 20-27 במאי, 2022
    • Commodity Skimming & Magecart Trends in First Quarter of 2022
    • RiskIQ: פעילות קבוצת Magecart 8 בתחילת 2022
    • Magecart Group 8 Real Estate: Hosting Patterns Associated with the Skimming Group
    • Inter Skimming Kit Used in Homoglyph Attacks
    • Magecart Group 8 משתלבת NutriBullet.com הוספה לרשימת הקורבנות ההוגדלה שלהם

    

    עיין בכל אחד המאמרים הללו ורשום לעצמך מידע נוסף - כגון יעדים; טקטיקות, טכניקות ונהלים (TTP); ו- IOCs אחרים - תוכל למצוא אודות קבוצת השחקן מאיים של Magecart.

11. בחר את הכרטיסיה WHOIS והשווה את המידע של WHOIS בין mypillow[.] com ו - mypiltow[.] com. רשום לעצמך את הפרטים הבאים:

    • רשומת WHOIS של mypillow[.] com מאוקטובר 2011 מציין כי My Pillow Inc. בבירור הבעלים של התחום.

    • רשומת WHOIS של mypiltow[.] com מאוקטובר 2018 מציין שהתחום נרשם ב- HONG Kong SAR והוא מוגן על-ידי Domain ID Shield Service CO.

    • הרשם של mypiltow[.] com is OnlineNIC, Inc.

      

    בהינתן רשומות הכתובת ופרטי WHOIS שנותחו עד כה, אנליסטית אמורה לגלות שזה מוזר ששירות פרטיות בסינית שומר בעיקר על כתובת IP ברוסית עבור חברה שמבוססת על ארה"ב.

12. נווט חזרה אל סרגל החיפוש של Intel explorer וחפש livechatinc[.] ארגון (ארגון) המאמר Magecart Group 8 משתלב NutriBullet.com הוספתם לרשימת הקורבנות ההוגדלה אמורה להופיע כעת בתוצאות החיפוש.

13. בחר את המאמר. המידע הבא אמור להיות זמין לגבי קמפיין קשור זה:

    • המאמר פורסם ב- 18 במרץ 2020.
    • המאמר מציין ש- Nutribullet, Amerisleep ו- ABS-CBN היו גם קורבנות של קבוצת השחקן מאיים של Magecart.

14. בחר את הכרטיסיה מחוונים ציבוריים. הוא אמור להוסיף לרשימה את רכיבי ה- IOC הבאים:

    • כתובות URL: hxxps://coffemokko[.] com/tr/, hxxps://freshdepor[.] com/tr/, hxxps://prodealscenter[.] c4m/tr/, hxxps://scriptoscript[.] com/tr/, hxxps://swappastore[.] com/tr/
    • תחומים: 3lift[.] org, abtasty[.] net, adaptivecss[.] org, מעריץbeauty[.] Org, all-about-sneakers[.] org, amerisleep.github[.] io, ar500arnor[.] com, authorizecdn[.] com, bannerbuzz[.] info, battery-force[.] org, batterynart[.] com, blackriverimaging[.] org, braincdn[.] org, btosports[.] net, cdnassels[.] com, cdnmage[.] com, chicksaddlery[.] net, childsplayplayplaying[.] org, christohperward[.] org, citywlnery[.] org, closetlondon[.] org, cmytuok[.] top, coffemokko[.] com, coffetea[.] org, configsysrc[.] info, dahlie[.] org, davidsfootwear[.] org, dobell[.] su, elegrina[.] com, energycoffe[.] org, energytea[.] org, etradesupply[.] org, exrpesso[.] org, foodandcot[.] com, freshchat[.] info, freshdepor[.] com, greatfurnituretradingco[.] org, info-js[.] link, jewsondirect[.] com, js-cloud[.] com, kandypens[.] net, kikvape[.] org, labbe[.] biz, lamoodbighats[.] net, link js[.] link, livechatinc[.] org, londontea[.] net, mage-checkout[.] org, magejavascripts[.] com, magescripts[.] pw, magesecuritys[.] com, majsurplus[.] com, map-js[.] link, mcloudjs[.] com, mechat[.] info, melbounestorm[.] com, misshaus[.] org, mylrendyphone[.] com, mypiltow[.] com, nililotan[.] org, oakandfort[.] org, ottocap[.] Org, parks[.] su, paypaypay[.] org, pmtonline[.] su, prodealscenter[.] com, replacemyremote[.] org, sagecdn[.] org, scriptoscript[.] com, security-payment[.] su, shop-rnib[.] org, slickjs[.] org, slickmin[.] com, smart-js[.] link, swappastore[.] com, teacoffe[.] net, top5value[.] com, track-js[.] link, ukcoffe[.] com, verywellfitnesse[.] com, walletgear[.] org, webanalyzer[.] net, zapaljs[.] com, zoplm[.] Com

15. נווט חזרה אל סרגל החיפוש של סייר Intel וחפש ב- mypillow[.] com. לאחר מכן, עבור אל הכרטיסיה זוגות מארחים, מיין את זוגות המארחים לפי 'נראה ראשון' וחפש קשרי גומלין של זוגות מארחים שהתרחשו באוקטובר 2018.

    שים לב כיצד www.mypillow[.] com נצפתה לראשונה מנסה להשיג secure.livechatinc[.] org ב- 26 באוקטובר 2018, מאחר שנצפתה בקשת SCRIPT GET מ- www.mypillow[.] com כדי secure.livechatinc[.] ארגון (ארגון) מערכת יחסים זו תם עד 19 בנובמבר 2018.

    

    בנוסף, secure.livechatinc[.] org פנה אל www.mypillow[.] com כדי לגשת לשרת של האחרון (xmlhttprequest).

16. סקור את mypillow[.] קשרי הגומלין של הזוג המארח של com עוד יותר. שים לב כיצד mypillow[.] com כולל קשרי גומלין של זוגות מארחים עם התחומים הבאים, הדומים לשם התחום secure.livechatinc[.] ארגון:

    • cdn.livechatinc[.] Com
    • secure.livechatinc[.] Com
    • api.livechatinc[.] Com

    הסיבות לקשר הגומלין כוללות:

    • script.src
    • iframe.src
    • ידוע
    • קצה עליון- משופע
    • img.src
    • xmlhttprequest

    Livechat הוא שירות צ'אט של תמיכה חיה שמשווקים מקוונים יכולים להוסיף לאתרי האינטרנט שלהם כהמשאבים לשותפים. כמה פלטפורמות מסחר אלקטרוני, כולל MyPillow, משתמשות בו. תחום מזויף זה מעניין משום שהאתר הרשמי של Livechat הוא למעשה livechatinc[.] com. לכן, במקרה זה, שחקן האיום השתמש ב- typosquat תחום ברמה העליונה כדי להסתיר את העובדה שהם הוצבו סקימר שני באתר האינטרנט של MyPillow.

17. חזור ומצא קשר גומלין של זוג מארחים עם secure.livechatinc[.] אורגון ו - כבה את שם המארח. הכרטיסיה 'פתרונות' אמורה לציין שמארח זה נפתר ל- 212.109.222[.] 230 באוקטובר 2018.

    

    שים לב כי כתובת IP זו מתארחת גם ברוסיה וארגון ASN הוא JSC IOT.

    

18. נווט חזרה אל סרגל החיפוש של Intel explorer וחפש secure.livechatinc[.] ארגון (ארגון) לאחר מכן, עבור אל הכרטיסיה WHOIS ובחר את הרשומה מ- 25 בדצמבר 2018.

    הרשם המשמש עבור רשומה זו הוא OnlineNIC Inc., שהוא אותו רשם המשמש לרישום mypiltow[.] במהלך אותו מסע פרסום. בהתבסס על הרשומה מ- 25 בדצמבר 2018, שים לב שהתחום השתמש גם באותו שירות לשמירה על פרטיות בסינית, שירות 'מגן מזהי תחומים', כמו mypiltow[.] com.

    רשומת דצמבר השתמשה בשרתי השמות הבאים, שהיו זהים לשימוש ברשומה 1 באוקטובר 2018 עבור mypiltow[.] Com.

    • ns1.jino.ru
    • ns2.jino.ru
    • ns3.jino.ru
    • ns4.jino.ru

    

19. בחר בכרטיסיה זוגות מארחים . אתה אמור לראות את קשרי הגומלין הבאים של זוגות מארחים מאוקטובר עד נובמבר 2018:

    • secure.livechatinc[.] הארגון נותב מחדש משתמשים ל- secure.livechatinc.com בנובמבר 19, 2022. ניתוב מחדש זה הוא יותר משיטה מעורפלת להתחמקות מהזיהוי.
    • www.mypillow[.] com מושך קובץ Script המתארח ב- secure.livechatinc[.] ארגון ( אתר LiveChat המזויף) מ- 26 באוקטובר 2018 עד 19 בנובמבר 2022. במהלך פרק זמן זה, www.mypillow[.] רכישות המשתמשים של com היו בסכנה.
    • secure.livechatinc[.] הארגון מבקש נתונים (xmlhttprequest) מהשרת www.mypillow[.] com, המארח את אתר האינטרנט האמיתי של MyPillow, בין ה- 27 באוקטובר ל- 29 באוקטובר 2018.

    

ניקוי משאבים

אין משאבים לניקוי במקטע זה.

למידע נוסף

• ערכת לימוד: איסוף בינת פגיעויות