走進黑客組織OilRig
作者:星期四, 五月 9, 20190

從一次數據泄露事件談起

2019年3月中旬,一個未知賬戶出現在多個黑客論壇以及Twitter上面,賬戶Mr_L4nnist3r聲稱能夠通過數據轉儲(data dump)訪問黑客組織OilRig內部使用的工具和數據。

其中,第一次聲明包含了若干系統截屏,OilRig有可能會使用這些漏洞發起攻擊。一段腳本,可被用作DNS劫持,一段密碼可借助文件名Glimpse.rar對文檔進行保護,其自稱包含了OilRig后門的C2服務器面板。之后很快,一個名為@dookhtegan的Twitter賬戶也站出來發表了類似聲明。

這個賬號使用了一張攝于2004年的著名圖片,一位尋求庇護的伊朗移民邁赫迪?卡烏西將自己的嘴唇和眼睛縫合,以抗議荷蘭新提議的庇護法,并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個圖片而不是其他圖片來表達抗議的原因。自從第一個賬號創建以后,就一直在使用這種抽象的圖片作為頭像,這給我們分析誰是始作俑者增加了難度。

OilRig的前世今生

OilRig組織于2016年首次被 Palo Alto Networks威脅情報小組 Unit 42發現,這之后,Unit 42長期持續監測、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業的其他組織進行深度研究,同時被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不復雜,但在達成目標方面相當堅持,與其他以間諜為目的的活動相比有所不同。同時,OilRig更愿意基于現有攻擊模式來發展攻擊手段并采用最新技術來達成目標。

經過長期研究,我們現在可以揭示出OilRig實施進攻的具體細節,他們使用何種工具,研發周期是怎樣的,他們在將VirusTotal作為檢測系統而使用的時候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待攻擊事件,這決定了我們對攻擊組件的認識有點狹隘。

遭受OilRig攻擊的組織機構甚多,覆蓋行業甚廣,從政府、媒體、能源、交通、物流一直到技術服務供應商。總體來講,我們識別出將近有13000被盜憑證、100余個已部署的webshell后門工具,在遍布27個國家(中國包含在內)、97個組織、覆蓋18個領域的大量遭受攻擊的主機上安裝了12個后門會話進程。

這次泄漏的數據包括多種類型,他們或者來自于偵測行動、初步攻擊,也可能來自于OilRig運營者針對某特定組織使用的工具。受此影響的組織分屬多個行業,從政府、媒體、能源、交通、物流一直到技術服務供應商。這個數據集包含:

  • 被盜憑證
  • 借助被盜憑證有可能會被入侵的系統
  • 已經部署的webshell URL
  • 后門工具
  • 后門工具的C2 服務器組件
  • 執行DNS劫持的腳本
  • 能夠識別特定個人運維者的文件
  • OilRig操作系統截圖

我們會對每個類型的數據組展開分析,而不是那些包含有所謂OilRig運營者詳細信息的文件。這些運營者會采用我們之前觀察到的OilRig慣常使用的方法、技術以及流程(tactics, techniques, and procedures,TTPs)。鑒于缺少對相關領域的可視化,我們尚且無法判斷這些帶有運營者個人信息的文件是否準確,但我們也沒有理由懷疑這些資料就不正確。

通過對不同工具的追蹤,我們在這些轉儲數據中發現了一些比較有意思的組件,那就是OilRig的這些威脅攻擊者會使用內部稱號。參考下圖,內部稱號以及我們追蹤這些工具時所用的關鍵詞。

結論

總之,這些泄漏的數據為我們提供了難得的非同一般的視角,可以讓我們看清攻擊者行為背后的真相。盡管我們可以確定數據集里面提供的后門和webshell程序與之前對OilRig工具的研究結果是一脈相承的,但總體來說我們無法確定整個數據集的來源,無法確認也不能否認這些數據沒有以某種方式被復制過。這些數據有很大可能來自于告密者,但好像只有某個第三方才能獲取這些數據。如果將這些數據看做一個整體的話,被鎖定的對象以及TTP與我們過去對OilRig所采取的行動是一致的。假設這些數據準確無誤,這就表明OilRig的覆蓋已經達到全球范圍,而大眾一般都認為OilRig只在中東地區肆虐。有可能受到OilRig波及的地區和行業的差異。這表明只要是企業,不管它屬于哪個區域和行業,都需要對攻擊者擁有態勢感知能力,對他們的所作所為要有所了解,并隨時準備著應對攻擊。

相關鏈接:

Behind the Scenes with OilRig

作者: Palo Alto Networks(派拓網絡)威脅情報團隊Unit 42

 


相關文章

寫一條評論

 

 

0條評論