解压密码为hacktheblue

你是一家网络安全公司的初级威胁情报分析师。你被指派调查一项名为"梦想工作行动"的网络间谍活动,目标是收集关于该行动的关键信息。

TASK1

谁执行了"梦想工作"行动? Lazarus Group

搜索Operation Dream Job

TASK2

该行动首次被发现是在何时? September 2019

点进上一题的网页

TASK3

与"梦想职位行动"相关的有 2 个活动。一个是 Operation North Star ,另一个是什么? Operation Interception

上一题的网页

TASK4

在"梦想职位行动"期间,有两个用于代理执行的系统二进制文件。一个是 Regsvr32 ,另一个是什么? Rundll32

网页内搜索Regsvr32

TASK5

攻击者使用了哪种横向移动技术? Internal Spearphishing

挨个搜横向移动技术

找到

TASK6

前一个答案对应的技术编号是什么? T1534

上一题可知

TASK7

拉撒路集团在"梦想工作行动"中使用了哪种远程访问木马? DRATzarus

TASK8

该恶意软件采用了何种技术手段实现执行? Native API

点进上一题的软件分析能看见链接

TASK9

该恶意软件采用了何种技术手段规避沙箱检测? Time Based Evasion

TASK10

要回答剩余问题,请使用 VirusTotal 并参考 IOCs.txt 文件。IOC 文件中提供的第一个哈希值关联的名称是什么? IEXPLORE.EXE

virustotal搜索第一个哈希值7bb93be636b332d0a142ff11aedb5bf0ff56deabba3aa02520c85bd99258406f

TASK11

IOC 文件中第二个哈希值关联的文件最初创建于何时? 2020-05-12 19:26:17

TASK12

与 IOC 中第二个哈希值关联的父执行文件名称是什么? BAE_HPC_SE.iso

TASK13

检查提供的第三个哈希值。与该攻击者已知战术相符的活动中可能使用的文件名是什么? Salary_Lockheed_Martin_job_opportunities_confidential.doc

找历史名称,有job关键字的

TASK14

在 2022 年 8 月 3 日,与 IOC 文件中第三个哈希值相关联的文件访问了哪个 URL? https://markettrendingcenter.com/lk_job_oppor.docx