從一次數(shù)據(jù)泄露事件談起
2019年3月中旬,一個(gè)未知賬戶出現(xiàn)在多個(gè)黑客論壇以及Twitter上面,賬戶Mr_L4nnist3r
聲稱能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲(chǔ)。
其中,第一次聲明包含了若干系統(tǒng)截屏,OilRig有可能會(huì)使用這些漏洞發(fā)起攻擊。一段腳本,可被用作DNS劫持,一段密碼可借助文件名Glimpse.rar對(duì)文檔進(jìn)行保護(hù),其自稱包含了OilRig后門的C2服務(wù)器面板。之后很快,一個(gè)名為@dookhtegan的Twitter賬戶也站出來聲明能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲(chǔ)。
這個(gè)賬號(hào)使用了一張攝于2004年的著名圖片,一位尋求庇護(hù)的伊朗移民邁赫迪?卡烏西將自己的嘴唇和眼睛縫合,以抗議荷蘭新提議的庇護(hù)法,并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個(gè)圖片而不是其他圖片來表達(dá)抗議的原因。自從第一個(gè)賬號(hào)創(chuàng)建以后,就一直在使用這種抽象的圖片作為頭像,這給我們分析誰是始作俑者增加了難度。
OilRig的前世今生
OilRig組織于2016年首次被 Palo Alto Networks威脅情報(bào)小組 Unit 42發(fā)現(xiàn),這之后,Unit 42長(zhǎng)期持續(xù)監(jiān)測(cè)、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業(yè)的其他組織進(jìn)行深度研究,同時(shí)被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不復(fù)雜,但在達(dá)成目標(biāo)方面相當(dāng)堅(jiān)持,與其他以間諜為目的的活動(dòng)相比有所不同。同時(shí),OilRig更愿意基于現(xiàn)有攻擊模式來發(fā)展攻擊手段并采用最新技術(shù)來達(dá)成目標(biāo)。
經(jīng)過長(zhǎng)期研究,我們現(xiàn)在可以揭示出OilRig實(shí)施進(jìn)攻的具體細(xì)節(jié),他們使用何種工具,研發(fā)周期是怎樣的,他們?cè)趯irusTotal作為檢測(cè)系統(tǒng)而使用的時(shí)候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待攻擊事件,這決定了我們對(duì)攻擊組件的認(rèn)識(shí)有點(diǎn)狹隘。
遭受OilRig攻擊的組織機(jī)構(gòu)甚多,覆蓋行業(yè)甚廣,從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商。總體來講,我們識(shí)別出將近有13000被盜憑證、100余個(gè)已部署的webshell后門工具,在遍布27個(gè)國(guó)家(中國(guó)包含在內(nèi))、97個(gè)組織、覆蓋18個(gè)領(lǐng)域的大量遭受攻擊的主機(jī)上安裝了12個(gè)后門會(huì)話進(jìn)程。
數(shù)據(jù)轉(zhuǎn)儲(chǔ)內(nèi)容包括多種類型數(shù)據(jù),他們或者來自于偵測(cè)行動(dòng)、初步攻擊,也可能來自于OilRig運(yùn)營(yíng)者針對(duì)某特定組織使用的工具。受此影響的組織分屬多個(gè)行業(yè),從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商。通常,轉(zhuǎn)儲(chǔ)數(shù)據(jù)中會(huì)包含以下信息:
- 被盜憑證
- 借助被盜憑證有可能會(huì)被入侵的系統(tǒng)
- 已經(jīng)部署的webshell URL
- 后門工具
- 后門工具的C2 服務(wù)器組件
- 執(zhí)行DNS劫持的腳本
- 能夠識(shí)別特定個(gè)人運(yùn)維者的文件
- OilRig操作系統(tǒng)截圖
我們會(huì)對(duì)每個(gè)類型的數(shù)據(jù)組展開分析,而不是那些包含有所謂OilRig運(yùn)營(yíng)者詳細(xì)信息的文件。這些運(yùn)營(yíng)者會(huì)采用我們之前觀察到的OilRig慣常使用的方法、技術(shù)以及流程(tactics, techniques, and procedures,TTPs)。鑒于缺少對(duì)相關(guān)領(lǐng)域的可視化,我們尚且無法判斷這些帶有運(yùn)營(yíng)者個(gè)人信息的文件是否準(zhǔn)確,但我們也沒有理由懷疑這些資料就不正確。
通過對(duì)不同工具的追蹤,我們?cè)谶@些轉(zhuǎn)儲(chǔ)數(shù)據(jù)中發(fā)現(xiàn)了一些比較有意思的組件,那就是OilRig的這些威脅攻擊者會(huì)使用內(nèi)部稱號(hào)。參考下圖,內(nèi)部稱號(hào)以及我們追蹤這些工具時(shí)所用的關(guān)鍵詞。
| 工具類型 | 內(nèi)部名稱 | 行業(yè)名稱 |
| 后門 | Poison Frog | BONDUPDATER |
| 后門 | Glimpse | Updated BONDUPDATER |
| Webshell | HyperShell | TwoFace loader |
| Webshell | HighShell | TwoFace payload |
| Webshell | Minion | TwoFace payload variant |
| DNS劫持工具 | webmask | Related to DNSpionage |
如欲了解更多有關(guān)這些內(nèi)部名稱的信息,敬請(qǐng)點(diǎn)擊以下鏈接瀏覽觀看:https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
結(jié)論
總之,數(shù)據(jù)轉(zhuǎn)儲(chǔ)為我們提供了難得的非同一般的視角,可以讓我們看清攻擊者行為背后的真相。盡管我們可以確定數(shù)據(jù)集里面提供的后門和webshell程序與之前對(duì)OilRig工具的研究結(jié)果是一脈相承的,但總體來說我們無法確定整個(gè)數(shù)據(jù)集的來源,無法確認(rèn)也不能否認(rèn)這些數(shù)據(jù)沒有以某種方式被復(fù)制過。有很大可能數(shù)據(jù)轉(zhuǎn)儲(chǔ)來自于告密者,但好像只有某個(gè)第三方才能獲取這些數(shù)據(jù)。如果將數(shù)據(jù)轉(zhuǎn)儲(chǔ)看做一個(gè)整體的話,被鎖定的對(duì)象以及TTP與我們過去對(duì)OilRig所采取的行動(dòng)是一致的。假設(shè)轉(zhuǎn)儲(chǔ)中的數(shù)據(jù)是準(zhǔn)確無誤的,這就表明OilRig的覆蓋已經(jīng)達(dá)到全球范圍,而大眾一般都認(rèn)為OilRig只在中東地區(qū)肆虐。
有可能受到OilRig波及的地區(qū)和行業(yè)的差異,表明只要是企業(yè),不管它屬于哪個(gè)區(qū)域和行業(yè),都需要對(duì)攻擊者擁有態(tài)勢(shì)感知能力,對(duì)他們的所作所為要有所了解,并隨時(shí)準(zhǔn)備著應(yīng)對(duì)攻擊。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實(shí)的平臺(tái),并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng),并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。
