## What is Diamond Model of Intrusion Analysis? 
The Diamond Model of Intrusion Analysis is a model to describe cyber attacks. It contains 4 parts - adversary, infrastructure, capability, and target. It gives analysts a comprehensive view of cyber attacks.

- Adversary: Where are attackers from? Who are the attackers? Who is the sponsor? Why attack? What is the activity timeline and planning?
- Infrastructure: Infected computer(s), C2 domain names, location of C2 servers, C2 server types, mechanism and structure of C2, data management & control, and data leakage paths 
- Capability: What skills do the attackers have to do reconnaissance, deliver their attacks, attack exploits and vulnerabilities, deploy their remote-controlled malwares and backdoors, and develop their tools?
- Target: Who is their target country/region, industry sector, individual, or data?

## Why Does It Matter?
For various cyber attacks, the diamond model of intrusion analysis can help enterprise cybersecurity teams find system breaches and deal with them. By doing so, they can successfully achieve cybersecurity defense goals.

![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_en.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_en.jpg)
<center>Diamond Model of Intrusion Analysis</center>


>Learn more about how we help enterprises via cyber threat intelligence: https://teamt5.org/en/products/threatvision/
 
 
*Image courtsey of [Pixabay](https://pixabay.com/)

What is the Diamond Model of Intrusion Analysis? Why Does It Matter?

## 什麼是入侵分析鑽石模型? 

入侵分析之鑽石模型(diamond model of intrusion analysis)是以4大元素分析網路攻擊的模型，4大元素包含敵人(adversary)、設施(infrastructure)、能力(capability)、目標(target)。

4大元素的細節包含: 
- 敵人(adversary): 敵人從哪邊來?敵人是誰? 幕後主導者/贊助者是誰? 攻擊的動機是什麼?攻擊的時間表和計劃是什麼? 
- 設施(infrastructure): 受感染的電腦、C2域名、C2服務器位置、C2服務器類型、C2管理的機制和結構、控制和資料搬運的路徑
- 能力(capability): 攻擊者具備的偵測技術、遞送惡意軟體的方式、會利用的漏洞、可以遠端控制的惡意軟體/後門程式、橫向移動的技巧與使用的工具、竊取資料的技術
- 目標(target): 意圖攻擊的目標、鎖定的目標國家/地區、鎖定的目標產業、鎖定企業哪個部門、鎖定哪種職能的員工、意圖竊取的資料類型

## 入侵分析鑽石模型對資安防禦的重要性是?
針對各類網路攻擊，以入侵分析之鑽石模型進行多角度分析，有助企業資安團隊找出系統破口，進行修補與處置，達成資安防禦目標。


![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_tw.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_tw.jpg)
<center>入侵分析鑽石模型</center>
 

>了解我們如何透過基於入侵分析鑽石模型提出的威脅情資解決方案: https://teamt5.org/en/products/threatvision/
 
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是入侵分析鑽石模型? 對資安防禦的重要性是?

## 侵入分析のダイヤモンドモデルとは？

侵入分析のダイヤモンドモデル（diamond model of intrusion analysis）は、攻撃グループ（adversary）、攻撃基盤（infrastructure）、能力（capability）、ターゲット（target）の4つの要素からサイバー攻撃のパターンを分析する方法です。

4つの要素の詳細について： 
- 攻撃グループ(adversary): 撃グループは誰でどこから来たのか。背後の主導者や協力者は誰で攻撃の動機は何なのか。攻撃のスケジュールや計画。 
- 攻撃基盤(infrastructure): 感染したコンピュータ、C2サーバの名称、場所、タイプ、C2管理のメカニズムと構造、制御パス、データパス。
- 能力(capability): 攻攻撃者の検出技術、マルウェアの送信方法、悪用される可能性のある脆弱性、遠隔操作可能なマルウェア/バックドア、ラテラルムーブメントの技術と使用されるツール、データを盗む技術。
- ターゲット(target): どのような国/地域、産業、企業の部門、スキルを持った従業員が攻撃対象となっているか。盗もうとしているデータのタイプ。

## 情報セキュリティ保護の重要性について
さまざまなサイバー攻撃を侵入分析のダイヤモンドモデルで多角的に分析することで、企業の情報セキュリティチームはシステムの脆弱性を見つけ、修正および対処することができ、情報セキュリティ保護を達成するのに役立ちます。


![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_jp.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_jp.jpg)
<center>侵入分析のダイヤモンドモデル</center>

 
*画像のソース: [Pixabay](https://pixabay.com/)

侵入分析のダイヤモンドモデルとは？ 情報セキュリティ保護の重要性について

Cobalt Strike is a well-established red-teaming toolkit that was specifically designed to create feature-rich backdoors in the matter of seconds. However, ever since its inception, the tool has been heavily abused by threat actors all over the world (e.g., Polaris/MustangPanda, APT32/OceanLotus, cybercriminals, etc.) The popularity of Cobalt Strike is primarily due to how powerful its built-in payload generators are, its flexibility in deploying the Beacon to the target machine(s) - and most notably - its ability to disguise the payload traffic in the target network.

Over the last year or so, more and more beacons relying on third-party services as their proxy are being found in the wild. Since the use of these third-party CDNs can allow anonymized C2 and enhance its detection evasion, numerous APTs have also begun using these services. In the following sections, we will go through some of the techniques used by these threat actors to see how one could easily set up these misused configurations.

## Serverless Functions
Other techniques that threat groups have been employing also include the use of third-party services such as Cloudflare Workers. With the use of serverless services, it is possible to setup what is essentially a free reverse proxy to a Cobalt Strike endpoint. When set up properly, these services can provide an additional layer of protection, as looking up the domain will only yield the service’s IP instead of the origin server.

![202205_blog_pic1.png](https://uploads.teamt5.org/upload/original/202205_blog_pic1.png)
 

Since these services are often set up with sub-domains that the threat actor could freely set up without purchasing a real domain, they could also be set to a somewhat convincing fake domain. In this example, the C2 was set to ```route.moffice365.workers.dev``` to make the traffic look somewhat related to Microsoft services.

![202205_blog_pic2.png](https://uploads.teamt5.org/upload/original/202205_blog_pic2.png)
 

The nature of these serverless functions makes it extremely difficult to attribute the origins of or identify the threat actors. Since the serverless code is only stored on Cloudflare, and its execution is done on Cloudflare’s servers, there is not a feasible way to identify the C2 infrastructures.

## Domain Fronting via CDN


Domain fronting is a technique that attempts to disguise the traffic by smuggling data to a well-known service or domain. In other words, similar to the previous technique, domain fronting cannot be feasibly blocked without disrupting services and or examining the inner request. HelpSystems, the company behind Cobalt Strike, had actually done a write-up of Cobalt Strike domain fronting using CloudFront in 2017[1].

![202205_blog_pic3.png](https://uploads.teamt5.org/upload/original/202205_blog_pic3.png)
 

Essentially, certain websites employ CDNs like CloudFront to deliver assets on their websites. Under normal circumstances, the ```Host``` header determines where the request should go - and this header is assigned by the website. However, we can also abuse this “feature” and make our beacon visit a certain domain with a specified Host header that goes to our CDN instead of the standard CDN that the website uses. With HTTPS, this request would be extremely difficult or impossible for the IT admin to block, as the request itself is encrypted, and on the surface, it would look like the user is simply visiting a reputable site.

## Domain Fronting with a Non-existent Domain
The following technique, however, does something slightly different. Some time ago last year, we detected a rather peculiar looking Cobalt Strike payload where its C2 address was set to ```pypi.python.org```. Obviously the actor couldn’t have possibly obtained the rights to the domain owned by the Python Foundation, and the chance of them pwning the service is also little to none.

![202205_blog_pic4.png](https://uploads.teamt5.org/upload/original/202205_blog_pic4.png)
 

So what gives? It turns out the secret lies within the service that operates the sub-domain and the HTTP header specified in the beacon. The Python Foundation uses Fastly for most of its services. Fastly uses the ```Host``` header specified within the request to decide which service to redirect the request to internally. For example, if I were to create a service on Fastly named ```dl-python.org```, and the ```Host``` header is set to ```dl-python.org``` in the beacon, Fastly would then forward the request to the service named as such.

![202205_blog_pic5.png](https://uploads.teamt5.org/upload/original/202205_blog_pic5.png)
 

Note the difference between this methodology against the previous domain fronting technique - the ```Host``` header may give a false impression that the C2 is being pointed towards ```dl-python.org```. In reality, it is being resolved as ```dl-python.org.global.prod.fastly.net``` when going through Fastly’s services. The service then internally forwards the request to ```my-c2domain.com``` as configured by the threat actor. This trick may lure threat investigators into investigating a completely different domain that may or may not be relevant to the incident.

![202205_blog_pic6.png](https://uploads.teamt5.org/upload/original/202205_blog_pic6.png)
 

## Conclusion
In this post, we have covered three ways that threat actors can abuse Cobalt Strike’s flexibility in payload communication: misuse of serverless functions and various abuses of CDN domain fronting. The resilience of Cobalt Strike is something that is beloved (or despised) by many because of this very reason. It is clear that the red-teaming toolkit is not going anywhere anytime soon as more and more creative strategies are discovered and employed.

## References
[1] Mudge, R. (2017, February 6). High-reputation Redirectors and Domain Fronting—Cobalt Strike Research and Development. ➔ [link](https://www.cobaltstrike.com/blog/high-reputation-redirectors-and-domain-fronting/)

*Image courtesy of [Pexels](https://www.pexels.com/)

Hiding in Plain Sight: Obscuring C2s by Abusing CDN Services

Cobalt Strikeは、数秒で機能豊富なバックドアを作成することに特化して設計された、定評のあるレッドチーム向けツールキットです。しかしながら、その登場以来、このツールは世界中の脅威アクター（Polaris/MustangPanda、APT32/OceanLotus、サイバー犯罪者など）に多用されています。 Cobalt Strikeの人気の理由は、主に内蔵されている強力なペイロードジェネレータ、ターゲットマシンにビーコンを展開できる柔軟さ、そして最も注目すべきなのが、ターゲットネットワーク内のペイロードトラフィックを偽装できる点にあります。

ここ1年ほどは、サードパーティーのサービスをプロキシとして利用するビーコンが多く出回っています。これらのサードパーティーCDNを利用することで、C2の匿名化が可能となり、検知回避を強化できるため、多くのAPTがこういったサービスを利用し始めています。以下のセクションでは、これらの脅威アクターが使用するテクニックのいくつかを紹介すると共に、こういった悪用された設定を設定するのがいかに簡単かをお見せしようと思います。

## サーバーレス関数
脅威グループが採用しているもう1つのテクニックが、Cloudflare Workersなどのサードパーティサービスを利用する方法です。サーバーレスサービスを利用することで、Cobalt Strikeエンドポイントへのリバースプロキシとなる設定を、お金をかけずに行うことができます。適切に設定することで、これらのサービスを通してさらなる保護レイヤーを形成することができます。ドメインを検索しても、オリジンサーバーではなく、サービスのIPのみが取得されるからです。

![202205_blog_pic1.png](https://uploads.teamt5.org/upload/original/202205_blog_pic1.png)
 

これらのサービスはサブドメインを使って設定されることが多く、脅威アクターは本物のドメインを購入せずに自由に設定することができ、ある程度の説得力のある偽ドメインに設定することもできます。この例では、C2が ```route.moffice365.workers.dev``` に設定されており、トラフィックがMicrosoftサービスに多少関連しているように見せかけています。

![202205_blog_pic2.png](https://uploads.teamt5.org/upload/original/202205_blog_pic2.png)
 

これらのサーバーレス関数は性質上、攻撃の発生源をたどったり、脅威アクターを特定したりすることは極めて困難です。サーバーレスコードはCloudflare上にのみ保存され、Cloudflareサーバー上で実行されるため、C2インフラを特定することは現実的に不可能です。

## CDNを介したドメインフロンティング


ドメインフロンティングとは、よく認知されたサービスやドメインにデータを潜ませることでトラフィックを偽装しようとするテクニックです。つまり、先ほどのテクニックと同様に、サービスを停止させたり、内部のリクエストを調べたりすることなくドメインフロンティングをブロックすることは現実的に不可能です。実は、Cobalt Strikeを提供するHelpSystemsが、2017年にCloudFrontを使用したCobalt Strikeのドメインフロンティングに関する記事を書いています[1]。

![202205_blog_pic3.png](https://uploads.teamt5.org/upload/original/202205_blog_pic3.png)
 

原則的に、一部のウェブサイトは、CloudFrontなどのCDNを採用して、ウェブサイト上にアセットを配信しています。通常は、ホストヘッダーがリクエストの行き先を決定し、このヘッダーはウェブサイトによって割り当てられます。しかしながら、この「関数」を悪用することで、ビーコンが特定のドメインに行くようにして、そのドメインにウェブサイトが使用する標準のCDNではなく、こちらで用意したCDNへと行くように指定したホストヘッダーを持たせることができます。HTTPSの場合、リクエスト自体が暗号化されているため、IT管理者がこのリクエストをブロックすることは極めて困難または不可能であり、表面上は、ユーザーが単に信頼できるサイトを訪問しているように見えます。

## 存在しないドメインを使用したドメインフロンティング
しかしながら、次のテクニックでは、少し違う方法をとっています。昨年のある時期に、C2アドレスが ```pypi.python.org``` に設定された、かなり奇妙に見えるCobalt Strikeペイロードを検出しました。Python Foundationが所有するドメインの権利を脅威アクターが取得することは明らかに不可能であり、サービスを悪用できる可能性もほとんどありません。

![202205_blog_pic4.png](https://uploads.teamt5.org/upload/original/202205_blog_pic4.png)
 

では何が目的なのでしょうか？その秘密は、サブドメインを操作するサービスと、ビーコンで指定されているHTTPヘッダーにあることが判明しました。Python Foundationは、同社のサービスのほとんどでFastlyを使用しています。Fastlyでは、リクエスト内で指定されたホストヘッダーを使用して、内部のどのサービスにリクエストをリダイレクトするのかを指定します。例えば、Fastly上に ```dl-python.org``` という名のサービスを作成し、ビーコンのホストヘッダーを ```dl-python.org``` にした場合、Fastlyはその名前のサービスにリクエストを転送します。

![202205_blog_pic5.png](https://uploads.teamt5.org/upload/original/202205_blog_pic5.png)
 

この方法と前述のドメインフロンティングのテクニックとの違いは、C2が ```dl-python.org``` に向けられるという、ホストヘッダーに誤った印象を与える点にあります。実際には、Fastlyのサービスを通すとdl-```python.org.global.prod.fastly.net``` として解決されます。その後このサービスは、脅威アクターが行った設定に従って、内部でリクエストを ```my-c2domain.com``` に転送します。この手口は、脅威調査担当者がインシデントと関係があるかどうかもわからない、まったく別のドメインを調査するようにうまく誘い込む可能性があります。

![202205_blog_pic6.png](https://uploads.teamt5.org/upload/original/202205_blog_pic6.png)
 

## 結論
この記事では、脅威アクターがペイロード通信におけるCobalt Strikeの柔軟性を悪用する際の3つの方法を説明しました。サーバーレス関数の悪用と、CDNドメインフロンティングに対する様々な悪用です。Cobalt Strikeのレジリエンスは、まさにこういった理由から多くの人に気に入られて（あるいは嫌われて）います。ますます多くの創造性に富んだ戦略が発見され、採用される中、レッドチームのためのツールキットはしばらく利用されることになるでしょう。

## 参考文献
[1] Mudge, R. (2017, February 6). High-reputation Redirectors and Domain Fronting—Cobalt Strike Research and Development. （高信頼性リダイレクタとドメインフロンティング - Cobalt Strikeの研究および開発）➔ [リンク](https://www.cobaltstrike.com/blog/high-reputation-redirectors-and-domain-fronting/)

*画像のソース: [Pexels](https://www.pexels.com/)

見えるところに潜む攻撃：CDNサービスを悪用したC2の不明瞭化

Threat Intelligence

>TeamT5 is a leading APT intelligence provider in the Asia & Pacific region. TeamT5 shared our research in the Black Hat Asia 2022. In this seminar, TeamT5 pointed out China-nexus APT groups who launched massive attacks against the online entertainment business in the APAC region. 

Charles Li (Chief Analyst) and Che Chang (Cyber Threat Analyst) from TeamT5 pointed out these attacks are not only money-driven, they also collect data from victim companies. The motives are closely aligned with the national interests of the Chinese government.

The Chinese government has put significant pressure on the online entertainment industry. It freezes gaming licenses from Sept 2021 to Apr 2022. It crackdown on Macau gambling
industry and forced gamblers to move online. During the time of pandemic, online gambling skyrocketed. 

China-nexus APT groups' attacks on online entertainment business might be one of the crackdown moves by the Chinese government. Previously, many cases were believed to be financially-motivated attacks because of the usage of ransomware. However, based on TeamT5’s observation in the past few years, APT attacks against online entertainment companies are also driven by espionage purposes.

These threat groups use various tactics, techniques, and procedures (TTPs). For example, they collect info in recruiting websites or forums. Then, they conduct spear phishing which targets customer supporting teams. The content of the phishing email is complaining about system issues and asking team staff to open attachments. Another way is phishing via social network platforms by crafting profiles and approaching sales, ITs, RDs in the targeting companies. 

These threat groups also exploit vulnerabilities of exchange server, VPN server, browser, web, or NAS to compromise the targeting companies. Supply chain attack is another way they use. By compromising the ERP system or official website, they’re able to fulfill their goals.

In the process, some threat groups modify specific weapons to attack online entertainment industry (e.g. SLIME 29). For Amoeba (a.k.a APT41), they use the same weapons that have been used to attack other industries but they developed proprietary tools  for maintaining. Others didn’t develop tailored weapons to attack the online entertainment industry (e.g. TianWu、Greedy Taotie、SLIME34).

Dissecting the current TTPs is merely the first step. TeamT5 urges organizations to start the threat intelligence cycle and have tailored & accurate threat intelligence.

- Presentation slides: [link](https://i.blackhat.com/Asia-22/Friday-Materials/AS-22-Li-To-Loot-Or-Not-To-Loot-That-Is-Not-a-Question.pdf)
- Speech video: [link](https://topicplay.com/v/490271)

## About Black Hat Asia
Black Hat is the world’s leading information security event, and remains the best and biggest event of its kind. It provides attendees with cutting-edge security research, development and trends, and has the ability to define tomorrow’s information security landscape. Black Hat Asia is an Black Hat extended event which is held in Singapore annually.


【Black Hat Asia 2022】Chinese APTs are Looting the Online Entertainment Industry, TeamT5 Researchers Publish Analysis at Black Hat Asia

>TeamT5 杜浦數位安全專精亞太地區駭客團體分析，最新研究於亞太最大資安研討會 Black Hat Asia 發布，指出與中國關聯之多個駭客團體，針對亞太地區的線上博弈產業發起大規模攻擊。這波攻擊據除了獲取金錢利益，對產業的資料展現高度興趣，推測可能暗含中國政府蒐集資訊的動機，異於過去攻擊行動。

中國政府近年來限縮線上遊戲產業發展空間，如停發遊戲版號，及取締賭博產業，使賭博產業多轉為線上營運。而蓬勃發展、跨境經營的線上博弈產業遭受多個駭客團體攻擊，入侵手法精密，TeamT5 首席分析師李庭閣(Charles Li)與分析師張哲誠(Che Chang)指出這波駭客攻擊與中國政府的官方利益一致，使駭客可掌握參與玩家、業主等資料，背後策略與動機實屬不尋常。

駭客團體使用多種手法(TTPs)進攻，如於該產業招募員工的網站論壇收集資料，進一步採取魚叉式網路釣魚(spear phishing)，鎖定客服人員，以抱怨系統為主旨釣魚信件，誘騙客服人員點擊附件；駭客團體也透過社群網站建立假帳戶，藉以接近目標公司的業務、工程師等。

駭客團體並利用各項漏洞，進行攻擊，如瀏覽器、VPN、NAS的漏洞；或採取供應鏈攻擊，從公司官網、ERP系統入侵至公司內部。

針對亞太地區的線上娛樂產業的網路攻擊事件中，攻擊者通常使用非市售的工具，或自行修改、研發工具，以達成攻擊目的。TeamT5 觀察的駭客團體中，SLIME29 的攻擊武器相較於其他團體，乃是為攻擊博奕產業特別製造；Amoeba (又稱 APT41)的攻擊武器也曾用於攻擊其他產業，同時也為博奕產業量身打造可協助他們長期控制目標之工具；此波攻擊中的其他駭客團體如 TianWu、Greedy Taotie、SLIME34 則無特別未博奕產業打造攻擊武器。

TeamT5 表示拆解中國駭客團體攻擊線上博弈產業的手法與背後動機，僅是協助企業了解最新趨勢的開端，後續動向值得關注。

- 演講完整演講簡報檔: [連結](https://i.blackhat.com/Asia-22/Friday-Materials/AS-22-Li-To-Loot-Or-Not-To-Loot-That-Is-Not-a-Question.pdf)
- 演講完整錄影: [link](https://topicplay.com/v/490271)

## 關於黑帽大會（Black Hat）
黑帽大會（Black Hat）每年聚集全球資訊安全專家、優秀研究人員於一堂，透過資安研究、開發與最新趨勢交流，鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會（Black Hat Briefing）與培訓（Training）每年也都在美國、歐洲與亞洲舉行，匯集全球資安頂尖人員參與盛會。


【Black Hat Asia 2022】中國駭客團體攔胡線上博弈產業 TeamT5 分析最新大規模網路攻擊手法

Events

>TeamT5 is a leading APT threat intelligence provider in the Asia & Pacific region. In Black Hat Asia 2022, TeamT5 published our analysis of modular backdoor Pangolin8RAT and its associated threat group "Tianwu”. As modular backdoors and shared malwares are becoming key trends in the threat landscape, Silvia Yeh (Threat Intelligence Analyst) and Leon Chang (Threat Intelligence Researcher) from TeamT5 warn the public that previous APT analysis mindset might not be suitable.

In the past, modular malware like PlugX and ShadowPad have been the most popular shared trojans used in Chinese state-sponsored cyber operations. Since mid-2020, TeamT5 has detected a new modular trojan emerging in the APAC region which has the potential to be their successor. The trojan was named "Pangolin8RAT" after "pangolin" and “p8rat" found in its PDB string and RTTI. Pangolin8RAT is modular, as its functionalities can be expanded by downloading DLL from its C2. Its early feature supported 8 communication protocols, including TCP, HTTPS, UDP, DNS, ICMP, HTTPSIPV6, WEB, and SSH.

TeamT5 researchers names the threat group behind Pangolin8RAT as “Tianwu”, a beast with 8 human heads in Chinese mythology. From 2020 to 2021, TeamT5 has observed Tianwu leveraging Pangolin8RAT to snipe at online gaming/gambling industry, transportation, telecom, government, and dissidents in the Asia Pacific region.

In this talk, TeamT5 researchers also explored Tianwu’s connections with the notorious Chinese APT group Amoeba (aka APT41) by illustrating the similarities in the two group’s modular malware structure, TTPs, and target scope.

TeamT5 researchers concluded that modular backdoor has become a trend as it can reduce the cost of malware development by APT groups. For that reason, previous analysis frameworks and categories might not be suitable for future APT attacks. In order to have an overview of the threat landscape, enterprises should defend themselves with all-level intelligence from tactical & operational level to strategic level.


- Presentation slides: [link](https://i.blackhat.com/Asia-22/Thursday-Materials/AS-22-LeonSilvia-NextGenPlugXShadowPad.pdf)
- Speech video: [link](https://topicplay.com/v/477689)

## About Black Hat Asia
Black Hat is the world’s leading information security event, and remains the best and biggest event of its kind. It provides attendees with cutting-edge security research, development and trends, and has the ability to define tomorrow’s information security landscape. Black Hat Asia is an Black Hat extended event which is held in Singapore annually.


【Black Hat Asia 2022】New Trend of Modular Backdoor and APT Attacks, TeamT5 Researchers Publish Analysis at Black Hat Asia

>TeamT5 杜浦數位安全長期致力於亞太地區駭客團體研究，於今年度亞洲最大資安研討會 Black Hat Asia 發布最新研究，說明新興的模組化後門程式 Pangolin8RAT 與其關聯駭客團體。有鑑於後門程式模組化及多駭客團體共用的趨勢，TeamT5 威脅情資分析師 Silvia Yeh 與威脅情資研究員 Leon Chang 警示既有 APT 攻擊分析方法可能不再適合，企業組織宜運用多層次威脅情資，掌握駭客動態。

過去像是 PlugX、ShadowPad等模組化惡意軟體製作而成的木馬程式，常見於中國國家級支持的網路行動。自2020年中，TeamT5 偵測到模組化木馬程式 Pangolin8RAT 在亞太區域區域，有可能是前述模組化惡意軟體的後繼者。Pangolin8RAT 命名來自其 PDB string "pangolin" 和其 RTTI “p8rat”，該模組化特徵為可經由C2指令，進行DLL下載，而擴展功能。其早期版本支援8種通訊協定，包含 TCP, HTTPS, UDP, DNS, ICMP, HTTPSIPV6, WEB, SSH。

TeamT5 將使用 Pangolin8RAT 後門程式的駭客團體命名為「天吳」，為記載於《山海經》的八首人面怪獸。2020-2021年之間，該駭客團體鎖定線上娛樂產業、賭博業、資訊業、電信業、交通運輸業、政府單位、異議人士等，進行網路攻擊。

本次演講中，TeamT5 研究團隊並探索「天吳」與惡名昭彰的中國 APT 團體 Amoeba (別名 APT41)的關聯，兩者的相似性來自他們使用之模組化惡意程式結構、攻擊手法(TTPs)與攻擊範圍。

TeamT5 研究團隊指出由於模組化後門程式可以降低駭客團體研發惡意軟體的成本，模組化後門程式成為趨勢。有鑑於此，先前針對 APT 攻擊的研究架構與分類可能不再適用於未來出現的 APT 攻擊，建議企業組織宜運用從戰術(tactic)、實戰(operation)、戰略(strategy)等層級的威脅情資，掌握網路威脅的全貌。

- 演講完整演講簡報檔: [連結](https://i.blackhat.com/Asia-22/Thursday-Materials/AS-22-LeonSilvia-NextGenPlugXShadowPad.pdf)
- 演講完整錄影: [link](https://topicplay.com/v/477689)

## 關於黑帽大會（Black Hat）
黑帽大會（Black Hat）每年聚集全球資訊安全專家、優秀研究人員於一堂，透過資安研究、開發與最新趨勢交流，鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會（Black Hat Briefing）與培訓（Training）每年也都在美國、歐洲與亞洲舉行，匯集全球資安頂尖人員參與盛會。


【Black Hat Asia 2022】後門程式模組化與 APT 攻擊趨勢剖析  TeamT5 於 Black Hat Asia 發布最新研究

## The definition of cyber threat intelligence
Cyber threat intelligence (CTI) is information that has been aggregated, transformed, analyzed, interpreted, or enriched to provide the necessary context for decision-making processes.

## Why does cyber threat intelligence matter to enterprises?
As the old saying “know the enemy, know yourself, and in every battle you will be victorious”, cyber threat intelligence plays the same important role in cyber war. It gives enterprises an overview of the threat landscape. Enterprise can make better cybersecurity defense plans to secure daily operation. 

## 3 levels of cyber threat intelligence
Cyber threat intelligence contains 3 levels - strategic, operational, and tactical threat intelligence.

**1. Strategic Threat Intelligence**
(Non-Technical, usually CXX users) :  Identifies the Who and Why. Uses high-level information (whitepapers, policy documents, publications, etc.)

**2. Operational Threat Intelligence**
(Mixed, SOC leaders, analysts, etc.):  Works on the How and Where. Uses information about threat actor tactics, techniques, procedures, etc.

**3. Tactical Threat Intelligence**
(Technical, usually Security Operations Center (SOC) personnel):  Look at the What. Uses Indicators of Compromise (IoC) such as file names, hashes, domain names, IP addresses, etc.

## Summary
Threat intelligence is an important part of enterprises’ cybersecurity plans. Enterprises can effectively deploy information security defenses and ensure smooth operations using the intelligence gathered and analyzed by the top threat intelligence research teams.



We, TeamT5, are the top research team in malware & Advanced Persistent Threat (APT). We’re  frequently invited to share our insights in top cybersecurity conferences - Black Hat (USA), Code Blue/ AVTokyo (Japan), Troopers(Germany), and other events organized by global organizations such as Hack In The Box, and FIRST.

>Contact us today to learn more about our threat intelligence platform.
>https://teamt5.org/en/request-information/


What is Cyber Threat Intelligence (CTI)? Why Does It Matter?

## 威脅情資的定義
威脅情資(threat intelligence)或稱網路威脅情資、資安情資(cyber threat intelligence,CTI) ，指的是與網路攻擊相關的資訊，經由專業團隊收集、轉換、分析、解釋等處理過程，提供資安決策過程所需要的基礎。

## 威脅情資對企業的重要性
孫子兵法提及戰場上的重要原則「知己知彼，百戰不殆」，到如今的網路戰爭中，一樣適用，而威脅情資就是企業進行資安防禦布局的關鍵。

透過威脅情資，企業能夠有效規劃資安防禦計畫，包含如何為員工進行資安意識的教育訓練，了解需導入的資安解決方案，如何調整資訊系統的設定，並可在多個資安防禦目標中，區分輕重緩急，分配預算。

## 威脅情資的3大層次
威脅情資依其內涵，分為3個層次，每個層次都可為企業的資安計畫帶來效益。
 
**1. 戰略型威脅情資(Strategic Threat Intelligence): **無技術細節，由 CXO 層級使用；用於辨別誰會想攻擊? 為何想攻擊?

**2. 實戰型威脅情資(Operational Threat Intelligence): **需要技術背景，由SOC 主管、分析研究員等使用；用於理解攻擊者的TTP (戰術 Tactics 、技術 Techniques、流程 Procedures)

**3. 戰術型威脅情資(Tactical Threat Intelligence):** 需要技術背景，通常是 SOC 人員使用；以威脅指標(indicator of compromise, IoC)，監看特定攻擊事件

## 總結
威脅情資是企業資安重要的一環，與具備完整威脅情資資料庫的廠商合作，企業可有效進行資安防禦布局，確保營運順暢。

TeamT5 杜浦數位安全專精網路威脅研究，具備超過10年的惡意程式與進階持續性滲透攻擊(APT)的研究經驗。基於地緣和語言優勢，我們有效掌握亞太地區的駭客攻擊，更經常受邀參加世界級資安會議、發表研究成果。

>今天就聯絡我們，展開企業資安的第一步!
>https://teamt5.org/tw/request-information/

 
 
 
*參考資料:
[threat intelligence - nist.gov](https://csrc.nist.gov/glossary/term/threat_intelligence)
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是威脅情資? 對企業的重要性是什麼?

## 脅威インテリジェンスの定義
脅威インテリジェンス（threat intelligence）はサイバー脅威インテリジェンス（cyber threat intelligence,CTI）とも呼ばれ、サイバー攻撃に関する情報を指します。専門家のチームにより収集、変換、分析、解釈などの処理が行われ、情報セキュリティの意思決定プロセスに必要な基礎となります。

## 企業にとっての脅威インテリジェンスの重要性
孫子の兵法には「彼を知り己を知れば百戦殆うからず」という戦場における重要な原則がありますが、同じことが今日のサイバー戦争にも当てはまります。脅威インテリジェンスは、企業が情報セキュリティ保護を展開する際の重要なポイントとにもなります。

脅威インテリジェンスにより、企業は情報セキュリティの意識に関する従業員のトレーニング方法、導入する情報セキュリティソリューションへの理解、情報システムの設定および調整方法など、効果的に情報セキュリティ保護の計画を立てることができます。また、複数の情報セキュリティ保護に優先順位をつけて予算を割り当てることができます。

## 脅威インテリジェンスの3つのレベル
脅威インテリジェンスは内容によって3つのレベルに分けられ、それぞれのレベルが企業の情報セキュリティ計画にメリットをもたらします。
 
 
**1. 戦略的脅威インテリジェンス(Strategic Threat Intelligence): **技術的な背景を必要とせず、CXOレベルで使用されます。誰が何のために攻撃しようとしているのかを判断します。
 
 
**2. 運用的脅威インテリジェンス(Operational Threat Intelligence): ** 技術的な背景が必要で、SOCマネージャーや分析研究員などが使用します。攻撃者のTTP（戦術「Tactics」、技術「Techniques」、手順「Procedures」）を把握します。
 
 
**3. 戦術的脅威インテリジェンス(Tactical Threat Intelligence):** 技術的な背景が必要で、一般的にSOC担当者が使用します。 セキュリティ侵害インジケーター（indicator of compromise, IoC）で、特定のセキュリティインシデントを監視します。
 
 
## まとめ
脅威インテリジェンスは企業の情報セキュリティにおける重要な部分であるため、完全な脅威インテリジェンスデータベースを備えた業者と提携することで、効果的に情報セキュリティ保護を展開し、スムーズな経営を維持できます。

TeamT5は、サイバー脅威の研究を専門としており、マルウェアおよびAPT（高度で持続的な脅威）の研究に10年以上携わっています。当社は地理および言語の強みを活かして効果的にアジア太平洋地域のハッキング攻撃を把握しているほか、世界レベルの情報セキュリティカンファレンスにたびたび出席し、研究成果を発表しています。

ぜひ、今すぐ当社にご連絡いただき、企業の情報セキュリティの第一歩を踏み出してください。

👉 https://teamt5.org/jp/request-information/

 
 
 
*参考文献: 
[threat intelligence - nist.gov](https://csrc.nist.gov/glossary/term/threat_intelligence)
 
*画像のソース: [Pixabay](https://pixabay.com/)

What is the Diamond Model of Intrusion Analysis? Why Does It Matter?

What is Diamond Model of Intrusion Analysis?

Why Does It Matter?

Related Post

Hiding in Plain Sight: Obscuring C2s by Abusing CDN Services

【Black Hat Asia 2022】Chinese APTs are Looting the Online Entertainment Industry, TeamT5 Researchers Publish Analysis at Black Hat Asia

【Black Hat Asia 2022】New Trend of Modular Backdoor and APT Attacks, TeamT5 Researchers Publish Analysis at Black Hat Asia

What is Cyber Threat Intelligence (CTI)? Why Does It Matter?