從一次數(shù)據(jù)泄露事件談起
2019年3月中旬,一個未知賬戶出現(xiàn)在多個黑客論壇以及Twitter上面,賬戶Mr_L4nnist3r
聲稱能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲。
其中,第一次聲明包含了若干系統(tǒng)截屏,OilRig有可能會使用這些漏洞發(fā)起攻擊。一段腳本,可被用作DNS劫持,一段密碼可借助文件名Glimpse.rar對文檔進(jìn)行保護(hù),其自稱包含了OilRig后門的C2服務(wù)器面板。之后很快,一個名為@dookhtegan的Twitter賬戶也站出來聲明能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲。
這個賬號使用了一張攝于2004年的著名圖片,一位尋求庇護(hù)的伊朗移民邁赫迪?卡烏西將自己的嘴唇和眼睛縫合,以抗議荷蘭新提議的庇護(hù)法,并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個圖片而不是其他圖片來表達(dá)抗議的原因。自從第一個賬號創(chuàng)建以后,就一直在使用這種抽象的圖片作為頭像,這給我們分析誰是始作俑者增加了難度。
OilRig的前世今生
OilRig組織于2016年首次被 Palo Alto Networks威脅情報小組 Unit 42發(fā)現(xiàn),這之后,Unit 42長期持續(xù)監(jiān)測、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業(yè)的其他組織進(jìn)行深度研究,同時被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不復(fù)雜,但在達(dá)成目標(biāo)方面相當(dāng)堅持,與其他以間諜為目的的活動相比有所不同。同時,OilRig更愿意基于現(xiàn)有攻擊模式來發(fā)展攻擊手段并采用最新技術(shù)來達(dá)成目標(biāo)。
經(jīng)過長期研究,我們現(xiàn)在可以揭示出OilRig實(shí)施進(jìn)攻的具體細(xì)節(jié),他們使用何種工具,研發(fā)周期是怎樣的,他們在將VirusTotal作為檢測系統(tǒng)而使用的時候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待攻擊事件,這決定了我們對攻擊組件的認(rèn)識有點(diǎn)狹隘。
遭受OilRig攻擊的組織機(jī)構(gòu)甚多,覆蓋行業(yè)甚廣,從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商?傮w來講,我們識別出將近有13000被盜憑證、100余個已部署的webshell后門工具,在遍布27個國家(中國包含在內(nèi))、97個組織、覆蓋18個領(lǐng)域的大量遭受攻擊的主機(jī)上安裝了12個后門會話進(jìn)程。
數(shù)據(jù)轉(zhuǎn)儲內(nèi)容包括多種類型數(shù)據(jù),他們或者來自于偵測行動、初步攻擊,也可能來自于OilRig運(yùn)營者針對某特定組織使用的工具。受此影響的組織分屬多個行業(yè),從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商。通常,轉(zhuǎn)儲數(shù)據(jù)中會包含以下信息:
- 被盜憑證
- 借助被盜憑證有可能會被入侵的系統(tǒng)
- 已經(jīng)部署的webshell URL
- 后門工具
- 后門工具的C2 服務(wù)器組件
- 執(zhí)行DNS劫持的腳本
- 能夠識別特定個人運(yùn)維者的文件
- OilRig操作系統(tǒng)截圖
我們會對每個類型的數(shù)據(jù)組展開分析,而不是那些包含有所謂OilRig運(yùn)營者詳細(xì)信息的文件。這些運(yùn)營者會采用我們之前觀察到的OilRig慣常使用的方法、技術(shù)以及流程(tactics, techniques, and procedures,TTPs)。鑒于缺少對相關(guān)領(lǐng)域的可視化,我們尚且無法判斷這些帶有運(yùn)營者個人信息的文件是否準(zhǔn)確,但我們也沒有理由懷疑這些資料就不正確。
通過對不同工具的追蹤,我們在這些轉(zhuǎn)儲數(shù)據(jù)中發(fā)現(xiàn)了一些比較有意思的組件,那就是OilRig的這些威脅攻擊者會使用內(nèi)部稱號。參考下圖,內(nèi)部稱號以及我們追蹤這些工具時所用的關(guān)鍵詞。
| 工具類型 | 內(nèi)部名稱 | 行業(yè)名稱 |
| 后門 | Poison Frog | BONDUPDATER |
| 后門 | Glimpse | Updated BONDUPDATER |
| Webshell | HyperShell | TwoFace loader |
| Webshell | HighShell | TwoFace payload |
| Webshell | Minion | TwoFace payload variant |
| DNS劫持工具 | webmask | Related to DNSpionage |
如欲了解更多有關(guān)這些內(nèi)部名稱的信息,敬請點(diǎn)擊以下鏈接瀏覽觀看:https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
結(jié)論
總之,數(shù)據(jù)轉(zhuǎn)儲為我們提供了難得的非同一般的視角,可以讓我們看清攻擊者行為背后的真相。盡管我們可以確定數(shù)據(jù)集里面提供的后門和webshell程序與之前對OilRig工具的研究結(jié)果是一脈相承的,但總體來說我們無法確定整個數(shù)據(jù)集的來源,無法確認(rèn)也不能否認(rèn)這些數(shù)據(jù)沒有以某種方式被復(fù)制過。有很大可能數(shù)據(jù)轉(zhuǎn)儲來自于告密者,但好像只有某個第三方才能獲取這些數(shù)據(jù)。如果將數(shù)據(jù)轉(zhuǎn)儲看做一個整體的話,被鎖定的對象以及TTP與我們過去對OilRig所采取的行動是一致的。假設(shè)轉(zhuǎn)儲中的數(shù)據(jù)是準(zhǔn)確無誤的,這就表明OilRig的覆蓋已經(jīng)達(dá)到全球范圍,而大眾一般都認(rèn)為OilRig只在中東地區(qū)肆虐。
有可能受到OilRig波及的地區(qū)和行業(yè)的差異,表明只要是企業(yè),不管它屬于哪個區(qū)域和行業(yè),都需要對攻擊者擁有態(tài)勢感知能力,對他們的所作所為要有所了解,并隨時準(zhǔn)備著應(yīng)對攻擊。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實(shí)的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動生態(tài)系統(tǒng)的不斷成長,并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動設(shè)備的網(wǎng)絡(luò)安全解決方案。
