 Hello and welcome to my presentation at DEFCON 29 Recon Village. My name is Vladisvā Baciu, and I will talk about how vigilant researchers can uncover APT attacks for fun and non-profit. I will be talking about threat intelligence, hunting malware samples and malware analysis. I will present how even individual researchers without funding and without access to premium services can uncover interesting targeted attacks. I start with the introduction of our arsenal with keeping in mind that it should be available for enthusiasts and it should be budget friendly. Next, I will share a couple of tips how to perform advanced search for interesting malware samples and following the case study, I will analyze one cobal strike sample targeting government of one small European country. During this investigation, I discovered several command and control servers, which have been reported to the local authorities then. At the end of the day, it turns out that even vigilant individual researcher can help with defending the targeted cyber attack. So, this is our agenda and now let me allow to tell a few words about myself. So, who am I? I am Vladisvā Baciu, I am a senior security consultant and malware analyst with more than 10 years of experience in cyber security etc. I currently work as a head of research department in istrosek cyber security company and during my previous engagements, I worked for Slovakia government and for the clients located in United States, especially in New York. Now, let's start with introducing the budget friendly toolkit of the individual researcher. Of course, there are plenty of threat intelligence feeds and always in the resources. However, everything has its cost, while there are many free resources, sometimes they have a questionable quality. And the right context is also very important, but with enough time for testing and evaluating, you can find free feeds with very good coverage of your needs. And what about APTheatrics? Oh, there are a lot of malware samples available from older and already analysed campaigns. However, with precise targeting and advanced search capabilities, even individuals and vigilant researchers can uncover current and ongoing campaigns. A few examples of resources for malware samples. There are online repositories such as malware bazaar and especially VAX underground, with very interesting collections of samples for educational purposes. And these collections include also samples from APTheatrics. On the other hand, when we want to find a gold, we need to analyze mostly current or un-categorised samples. Online services such as malware bazaar hybrid analysis in Iran and Treache provide public feeds. Probably the most easy option for processing and automation is hybrid analysis and malware bazaar. Also, there are very useful advanced search capabilities and filters available at any run and hybrid analysis. And for linking between artefacts, virus-totāli relations act as a great knowledge base. One part of the researcher toolkits are data and feeds, but we also need tools for their processing. One good example of open-source threat intelligence platform is Yeti, which stands for your everyday threat intelligence. It integrates feeds, analytics, search capabilities, exports, but also can provide investigation tool similar to virus-totāli graph or maltego. And it can be completely hosted on your hardware. This is the example of tools similar to virus-totāli graph. This is an example of feed and search in Yeti platform. Another great tool from my experience is Twitter, because a lot of researchers report their news via tweets. So we can use the tweets as a feed and search for IOCs or indicator of compromise. As we can see the example of tweetioc.com. Also, a very useful tool is called a twint, which we'll cover a little bit later. Okay, so we have resources and tools, and now how to use them for malware hunting? First of all, advanced search and filters are our good friends. For example, on hybrid analysis, we have plenty of available options. Also, please notice that there are more options too at the bottom of the search form. And hybrid analysis has also capabilities of string search and search by Yara rules, which is also very useful. NRAM offers also useful filter. I especially like the submission country filters. This is this one and the context, because it is a good idea to search for rare samples in these context fields instead of the object fields. And the last tool is twint. An advanced command line utility, the advanced Twitter scraping and OSN tool, which doesn't use Twitter API. And therefore it can bypass the most of Twitter API limitations. And you don't need any Twitter account for use twint. Together with standard Linux tools, such as grep, the twint tool is very powerful when searching for something very specific. After collecting and analyzing malware samples, we usually get a couple of network IOCs, such as IP addresses and domain names. And we are ready for hunting the another command and control servers, which may be linked to the investigated campaign. For this task, the search engines, such as Shodan or Senses, are very handy. Senses has a great search language and filters, but those filters only work for some network services and protocols supported by Senses. For general searching, Shodan is also a very good choice. And moreover, they also offer a history of their scans and the results, which is a kind of web archive for internet connected devices. And also web archive is a very good tool when I want to see something from the history of websites. But in general, I usually use a combination of all of these three services for my CNC hunting. As a bonus, there is one professional tip for Shodan, search by hash. Espešķļi, bet HTTP favicon hash, it is possible to search for all online instances of the same web application or product. For example, admin interface of home routers and firewalls could be found with HTTP favicon hash filter. Here is also example how we can compute more and more hash tree for these hash searches, because this hash is not the standard hash like MD5 or SHA1 or SHA256, but it is more and more hash tree instead. So, this is the last slide of the theory. How to hunt for interesting malware samples? When talking about APT style attacks targeting specific industry or government, it is much easier to search among sample submissions from small country instead of big countries, because there are much more common sample submissions from countries with great population than from the small countries. It is more difficult for us to find the gold. As a comparison, when we apply and we run country filters, there are big differences in number of results or number of pages with the results to be precise. We can see that from the small European countries with the population under 20 millions such as Austria, Belgium, Czech Republic, Hungary, also Netherlands and Slovakia, there are significantly less submissions than from the big countries. Especally, I would like to point to Slovakia with very small number of submissions. Also, there are a couple of exceptions. For example, from Netherlands and Poland, there are more submissions per population than in other countries, but there can be a reason for that. Pēc izpāk, kaut ka nēdvērta, tādu, ka esmu ļoti reseercēs iet uz to, un nezinu, ka nezinu, ka esmu ļoti protonārsts, mūsu, ko ir valisdu, ka esmu reseercēs uz to, kā viņi. Tad būt kā bet, kad būs ir izpāk, ka, ka ar nezinu, ka esmu, ir vienkārši, ka mani populāciju. Nu, viņa teoriāt vēl ir prākķis. Prākķis ir mērāk, ko mēs ir mārķa, mēs ērkātājiem mērķu 2021. Mani mērķu ar niraniem, bet ir vispār skolā mērķu, ka slavakijā mērķu. Es gribēju, ko ir esam ejā, jo esmu vispār vispār mērķi. Esmu jā, ka jau rūdu, ka esmu ļoti, ko mērķi apmērti ir ir ļoti, esmu Ṣažu, ka esmu arī ļoti. Ar kāds ir apmērti ir ļoti, kāds ir ļoti. Esmu ļoti, ka esmu arī ļoti. Esmu ļoti, ka esmu arī ļoti. Esmu ļoti, ka esmu arī ļoti. un 9. apriļa. Un esmu varētu, ka jau vairāk ir arī ir ļoti, ir ir ļoti atekas, ir jau varētu vairāk, kad esmu samplēju, ka esmu varētu detektīt. Mališas ir kāds parīdājus. Arī, ka arī ir rana, esmu samplēju, esmu varētu detektīt. Esmu samplēju, nekā ir detektīt, ir vairāk kandīdēts, mēs viņu arī ir arī ir rādvēju, mēs viņu ir pēc tādār ir antivirusas, un ļoti svarbāk ir sekuritījā. Adu, bet ir parīkulā samplu, atratu mēs, bet nezākši, un mēs lietās, esmu lietāk, bet arī skrimšots, jau vienkārībās, ir ļoti mēs arī, ir ļoti vienkārībā, bet vispār ir balikotās šoletā, puladies palaļarPM ir iet, ka paļšā vai arī armena, ka viņa Pučas ir ir balikotās, bet, ja es par teiktu, laikiem atlaidadam, ir knažam ļoti un pēc. Vēl, ka mēs nevarēt visu samplu, ko i Hawaiianu systemu, esatību, es darīdāju, esā kā mēs išagodas un lētāju lētas. Un mēs išāk, ka mēs tev ir aizvisēt kā kādu kā išajā sekti, aizkāk, mēs išāk kā išāk, mēs išāk kā ikšāk, mēs išāk kā kā mēs išāk, mēs išāk, mēs išāk, mēs išāk… Esmu, ātvalizācijā tādās, ka ietākā paatījās ātvalīdā ērākā, bet mēlēsās, ka kādās, ka mēlēsās mēlēsās. Kur sāpēju, es ir kādu, ka jeigu ir galā sāpēju. Laikas, kur, ir, ir, ir vēl, esmu ītākšadu, un vajag repābliku. ISO sāpēja – ka to sāpēju 2 ītas. 1.lnkā sāpēju un 1.dlnkā sāpēju. LNKā fil, linkfile, Windows shortcut, mēs ir ļoti ir ļoti dļoti, fil esu ISO, viņu ļoti RAN DL32 programu. Mēs lulbimu tehniku, ka ir vairāk esatotas. Lulbimu, esatotas, migrāk domārā, ir tas tehniku, ko ar teļa atakāriem mēs. Werferinga uz krākšu piekāresē ļoti līda. Mans ar lietākā mazkarā esat tādās ir trenadz ļoti ilgos, brāz ietika() sismus. Es ļoti pārkāk klīdzu līdzīta un palaļu esat sīts stāko. Un palažājumā uzaidādāju sez ļoti manu ārķie. Manu arī ir manu mērķu, ka esi ir manu kalbā uz dākāršījās. Es gaudz, kad ir esmu ļoti ļoti, bet atpāršījās, kad arī mārķu, kā arī mērķu, arī ir ļoti, mērķu. Delākīrtās uzaidās un ļoti nākāršījās avatījās, ko un, ka atušējās, un iestatas. Viena katta, ka esam atstavīt kultūru, un arī teki lūpa, arī atstavīt kā virtiāla protektu, viena apieko, un tādāk, arī atstavīt arī atstavīte. Bet esam ir veidzēta tāds, ka esam tev atstavīte. Tāds, ko atstavīta, esam atstavīt iedmērās, ja protektu tu, ka tas visu reģija, esam visu reģija. Un arī pēlūtās pēlūtās esmu kauti, bet tas ir data. Pēlūtās arī pēlūtās esmu dēlēlās, bet visu standardu msdosīdātās, ka tādāk neko ir ļoti pradētās, ir, ir, ir, ir. Tā kādās pēlūtās esmu kauti, bet tas ir malv formētās, ka jau bija tādāk, ka esmu pēlūtās, ka jau matrākās, un esmu pēlūtās, ka esmu pēlūtās, esi šādār uz tāda, ka ļākās esi laikas ir skatītājiem, ir ka šādār uz lovētā, ka esi pārstāju, ir viņu liekas ir ļākās, ka esmu liekas, esmu liekas ir arī pūrndājo tādā. Tāda pakotas pie liekas, ka esmu liekas esmu liekas, esmu liekas ir ļākās, ka esmu liekas, ka esmu liekas ietlētēs, bet ir pradzītā ar katru. Viņa confegūras, Un vispār, ka ir ļoti vairāko ir skripti, bet vajadzētu esam ar reizētsēju. Un kāds skripti ir viņi tagad mūsu, bet ir vajadzētu. Es tev neko, ka varbūt prāk, kā visu esmu ir izveidāt, un neko jāiet vienkārībēt, ka jāiet mani vajadzētu. Kā kā mani mani mani vajadzētu, kā kā esmu maļus, ka ka nu, kā esmu komfigurāciju. Arstāvāk, viņu esmu priešēt, ka vēl esmu priešēt, arī dāvēr ar arzanāl, ir mani manu lietājiem, ir nezabag. Es nezinu. Tādas ir kādāk ir kādāk, ar jās uzmēkārštas. Aiz kādāk, es gribējām, atkāršiem, atta, es vēl tāda, ir Estu bija pēc bija kādāk, mēlībās J2 profājā. Pēc, ka ir jau vienkārīzā, ka viņa lietās, ka sepārīzā, ka ir vienkārīzā, ko vēl mēlībās. Vienkārīzā esi vēl, ka esmu vienkārīzā, ar kādu vēl mēlībās. Esmu vienkārīzā, ka vēl mēlībās. Esmu vienkārīzā, ka esmu vienkārīzā, esmu vienkārīzā, ka esmu vienkārīzā. nekā viedemēju apko atratotāmos ir arī ventas. Ja, mēs ir vispār, tādu vietamē, vai esmu esmu tie, kā mēs nav unīgus. Taču analizē un arī, ko labi salopoties izvīdzoties, boš Kovalstraikus atratotu, esi mani tato viedemēju, arī tie par vēlajā, mēs piepr tilā, ko esmu daudu viedemējam. Dari analizēju komandārākā kontrolās, viņa ir viskāk vienkārāt kāpūrās interesākās. Vienkārākās vispārāt ir vienkārās kāpūrās kāpūrās, un viņa ir ļoti kārākā, ka esmu vajadzēt uz 7 tādāk, bet kārākās palaļa ir spēkta un ISO. Viņa jā, ka paramītās ar hdp reikus, ir ir redzēt ar spēktārās.smē.sk, un viņus ir populāru ļoti visu vairu vienu smoka. Galivāk kodētu, ka brādā veidzētas ļoti ļoti mokāikši komandos ordābā. Nāk vairā, kad tev gau odds labai tāda tādaprākšā. Kad kāda, ka tev jau vairā, ka ir jāk, ka zurēt madādiem kanadiā pasa sekta atuminākās OVH. Tur beidzēja basīties vispā tādams konfigurātas ir tevi, servērs, ka arī apkāršu pērādā, ka esatījās hvērstu, ka esatījās, ka mārīdās, ka esatījās, ka arī mārīdās, ka arī mārīdās. Tad, ko ir kodētās, ka arī apkāršu tāds visu, bet neko tāds. Mēs pradzētās ir arī mērīdās, ka esatījās, ka arī mērīdās, ka arī mērīdās, ka arī mērīdās. ir nezatājiem tev nevis, bet kādēt ir nedījās, bet ir vajadien, kad esi nedījās neizsidēju, kas un tādu rezultāju neizsidēju, bet neizmēju, ka mā ir mājā mēs. Es gribu tādas, kā kā jau nevēlīt mērīt ir prasiet, vai mums viņu izmērīt sājā. Jūs esam ātākā kāds no izmērītas. Tad tāda kāds unikas kombinācijas propērtas, bet neko unīga ir vairākšā, un esam ir tev esam peļu, bet arī atvežas kāds pirmajās spējātās ciencija servērā ir vairākšana. Esmu būtāk, ka tāda viņa vienērākšanā ir reidirakšana ir pēc nevarbūtas polīcija. Kā mēs ir unīdz kās jūnīgā. Laiku, kā brāžas ir vēl tu kāfārstākaskā, ja kā vēl tādāk mēsanie, brāzīju un palā?" Nasi, kad ir vispār tikko manu al смотретьu. Un vēl tu vairāk, ka ir malu kā balstreigas. aizmējās konfigurācijās. Tad esi esmu izmērītas, bet, ka esmu ir arī ir ļūsportaļa, ir esmu ir ir samīlārījās propērtīs, kā esmu kontentu, lēngu, engiņu, web-servēru, pēc no referēru, policiju, etc. Tad esmu ir sektygo SSL certifīkētas, mēs esmu kriptu. Bet arī tev patas, jo šajā panīgās ir vairāk, neko mēs vairāk. Kad mēs arī vairāk esatīdās EVH, bet mēs sestājās, ka esatīdās, nekā jaši ir ektiga. Tā vairāk bija aktīvēt, ka ar veikrāk 2021. Es gārāk ir, ka mēs arī vairāk esatīdās, ka arvēr tādāju. CNC servers esmu inkorporētīt ir redarikšana un domēns simulājās bija domēns. Tādi diskverētas CNC servers esmu vajadzēt ar glopu, esmu, kanadā, franātās, austrāliā. Naujās esmu posibūt, ka esmu kopākā konfigurāciju ciena CNC serversu. Tādāk esmu tūlās, ka esmu mums, ka esmu mums, ka esmu mums. Tad informācija ar cienkā un cienkā infrastrukturu, es kādāko, ka mazlieti ir parīdzāti mūsākais līdzību. Viņa uskoda īpīdā ir domējas, ir tāda, ka kādā kādās ir izgāzīju. Pārīzā, ka esmu isu isu uklīkā, jo nav ielisību spērākā, esmu arī arī ielisību ir ielisību, esmu nav, ka jo, un esmu ir ielisību. Tāpār, ko esi vajag arī analizēju, ka esi arī ir ļoti. Esa ir linka un dll fila uz kopākā kādā, ka esi teikt vajag pārpā. Esam esam ļoti ar Ierāne, ka esi vajag 2021. ar Nederlāns. Mēs ļoti ir, ka ir nesam analizēja protonu VPN, bet esi ir ļoti, bet ir ļoti, ka ir pradzēju pradzēju, ja esam esam vajag pradzēju. Tāpēc, tā lai jau samovērēs izmērātā, par to samotās, un vairāk kādārši propērti, ka vēl nezajadās kādārši vēl nezajadās, tas ir, ka vajadās, kādārši, varu viņa īmkā. Tādi, kādārši, esmu gan, ka esmu sestā, ka esmu kādārši, esmu vairāk, esmu vairāk. Tādsēt viskā tāda strīginas nušu nārīzīva un datākultārot esi vajag coordinates. Tad mēs ir drisēt sākā visu zelīkā spējē sensē, pat mēs kļoti jāsiekšot antākott pēc nelīgīt. Tur ir vajag adaptāru, daudz vajag paldījīt paldīt esmu tādāks prājavītā sākā, – fokskonu mērļu 2021.2. Mani ir examinētējā labi apmērīdētās ietajā apmērīdētās, esam jūlte, kā mērļu atmērījā ir netvaira botnētā. Es nezinu un atmērīdā. Es parmu atmērītās, kā mēs tajā mēs ir vajadzījā. Un, kad mēs arī kāds vispārīdā kompromīzā, kādsās kādsērkās ir mani kādsērkās, ka ka mārvērēt mārvēra kopākši,bildāk torkštai arī vienu tradaktu. Arī viena visu atsinturaura, esat spēc vienamies parmēto es Saria呀ktiem, ir vienakis ir šausa, savo spēc nezinuos cilvēts, jā kā kādi viena kādi visus ir katru, un esi viskas, ko apreizkāriem tektu. Es parībūt, ka esi vajadāk, ka esu kā vēl citi. Dāl, ka arī smērītās. Viena viņu salīt, kad, kā kāds ir kādākotu, un kāds ir kādākotu infrastruktu, ko tādākotu, ko vairāk vēl arī visu. Mani analizājiem būt savāk lieta, ka ir maļavākīkā informācijas, arī būtu. Esākša ir būtu ir lietāk, ka ir ir lietāk, ka ir atsēt, ka tajā mēs ir šanas pārājā un kārākā. Pārākā ir to, ka kārākā ir vispār ir indikājiem, ka ir tu, ka to vispārījies ir īspējās. Arī īspējās arī īspējās, ir šā mēs ir īspējās, bet mēs ir īspējās. Esamjais, ka arī īspējās vēl tajā, kā ir īspējās, neki neizpatējām, būt viņa arī vietāk, ko esi lietam, ka pārīzās ielītās. Tad ir vēl mēs ir arī atvēlīdāt, ka kā kādāk ar Pārīzā. Pārīzās uz to zegākā. Aizpējās to, ko ir priekojam ir parīzāk, pēc arī arī atvēlīdāt, kā kā kā kā kā atveizu. Un pēc, ka ir viņa visu ir jau apkārstījus, ka lētējās, ka ir visu ir jau. Nē, kad pēc, ka jaunītāk, un ļotiļās ir ļotiļa, ir visu ir ļotiļa kuri. Arī, ka arī, ko ir ļotiļa, esmu kompromiku, un ir par samplis, ka trenerāk, mēs teikt vēl un balā, Tāds, kā ir mani citi, arī arī anīvēram ap gentlemanā, ko downloadu to vaikas un arī Harvardis Ŀera. Tā esam ir vajag bija. Un esbūtu nav iesmērštēm ēvēmīt. Jā, jau es gaudīju, ka ir ētaka, ka ar labās, ka jau tāpāk mēs tādi arī to apcaidu. Tāds tas ir patrību. Tāds, digad, kā arī te nav arī tākšu, Un jau kādāk vēl vēl jau tādāk, ka esi ir vēl vēl vēl kādāk.