小说网,盗墓笔记第二季,欢乐颂第一季免费阅读

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

走進(jìn)黑客組織OilRig

從一次數(shù)據(jù)泄露事件談起

2019年3月中旬，一個(gè)未知賬戶出現(xiàn)在多個(gè)黑客論壇以及Twitter上面，賬戶Mr_L4nnist3r聲稱能夠通過(guò)黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問(wèn)數(shù)據(jù)轉(zhuǎn)儲(chǔ)。

其中，聲明包含了若干系統(tǒng)截屏，OilRig有可能會(huì)使用這些漏洞。一段腳本，可被用作DNS劫持，一段密碼可借助文件名Glimpse.rar對(duì)文檔進(jìn)行保護(hù)，其自稱包含了OilRig后門的C2服務(wù)器面板。之后很快，一個(gè)名為@dookhtegan的Twitter賬戶也站出來(lái)聲明能夠通過(guò)黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問(wèn)數(shù)據(jù)轉(zhuǎn)儲(chǔ)。

這個(gè)賬號(hào)使用了一張攝于2004年的著名圖片，一位尋求庇護(hù)的伊朗移民邁赫迪o卡烏西將自己的嘴唇和眼睛縫合，以抗議荷蘭新提議的庇護(hù)法，并表示將其送回伊朗無(wú)異于羊入虎口。我們尚不清楚作者使用這個(gè)圖片而不是其他圖片來(lái)表達(dá)抗議的原因。自從賬號(hào)創(chuàng)建以后，就一直在使用這種抽象的圖片作為頭像，這給我們分析誰(shuí)是始作俑者增加了難度。

OilRig的前世今生

OilRig組織于2016年被 Palo Alto Networks威脅情報(bào)小組 Unit 42發(fā)現(xiàn)，這之后，Unit 42長(zhǎng)期持續(xù)監(jiān)測(cè)、觀察并追蹤他們的行蹤和變化。后來(lái)OilRig被安全行業(yè)的其他組織進(jìn)行深度研究，同時(shí)被冠以其他名字如"APT34"以及"Helix Kitten"。OilRig并不復(fù)雜，但在達(dá)成目標(biāo)方面相當(dāng)堅(jiān)持，與其他以間諜為目的的活動(dòng)相比有所不同。同時(shí)，OilRig更愿意基于現(xiàn)有模式來(lái)發(fā)展威脅手段并采用技術(shù)來(lái)達(dá)成目標(biāo)。

經(jīng)過(guò)長(zhǎng)期研究，我們現(xiàn)在可以揭示出OilRig實(shí)施進(jìn)攻的具體細(xì)節(jié)，他們使用何種工具，研發(fā)周期是怎樣的，他們?cè)趯irusTotal作為檢測(cè)系統(tǒng)而使用的時(shí)候都能反映出以上問(wèn)題。一般情況下我們都是站在受害者的角度來(lái)看待安全威脅事件，這決定了我們對(duì)組件的認(rèn)識(shí)有點(diǎn)狹隘。

遭受OilRig安全威脅的組織機(jī)構(gòu)甚多，覆蓋行業(yè)甚廣，從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商?？傮w來(lái)講，我們識(shí)別出將近有13000被盜憑證、100余個(gè)已部署的webshell后門工具，在遍布27個(gè)國(guó)家(中國(guó)包含在內(nèi))、97個(gè)組織、覆蓋18個(gè)領(lǐng)域的大量遭受非法控制的主機(jī)上安裝了12個(gè)后門會(huì)話進(jìn)程。

數(shù)據(jù)轉(zhuǎn)儲(chǔ)內(nèi)容包括多種類型數(shù)據(jù)，他們或者來(lái)自于偵測(cè)行動(dòng)，也可能來(lái)自于OilRig運(yùn)營(yíng)者針對(duì)某特定組織使用的工具。受此影響的組織分屬多個(gè)行業(yè)，從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商。通常，轉(zhuǎn)儲(chǔ)數(shù)據(jù)中會(huì)包含以下信息：

被盜憑證

已經(jīng)部署的webshell URL

后門工具

后門工具的C2 服務(wù)器組件

執(zhí)行DNS劫持的腳本

能夠識(shí)別特定個(gè)人運(yùn)維者的文件

OilRig操作系統(tǒng)截圖

我們會(huì)對(duì)每個(gè)類型的數(shù)據(jù)組展開分析，而不是那些包含有所謂OilRig運(yùn)營(yíng)者詳細(xì)信息的文件。這些運(yùn)營(yíng)者會(huì)采用我們之前觀察到的OilRig慣常使用的方法、技術(shù)以及流程(tactics, techniques, and procedures，TTPs)。鑒于缺少對(duì)相關(guān)領(lǐng)域的可視化，我們尚且無(wú)法判斷這些帶有運(yùn)營(yíng)者個(gè)人信息的文件是否準(zhǔn)確，但我們也沒(méi)有理由懷疑這些資料就不正確。

通過(guò)對(duì)不同工具的追蹤，我們?cè)谶@些轉(zhuǎn)儲(chǔ)數(shù)據(jù)中發(fā)現(xiàn)了一些比較有意思的組件，那就是OilRig的這些威脅者會(huì)使用內(nèi)部稱號(hào)。參考下圖，內(nèi)部稱號(hào)以及我們追蹤這些工具時(shí)所用的關(guān)鍵詞。

結(jié)論

總之，數(shù)據(jù)轉(zhuǎn)儲(chǔ)為我們提供了難得的非同一般的視角，可以讓我們看清黑客行為背后的真相。盡管我們可以確定數(shù)據(jù)集里面提供的后門和webshell程序與之前對(duì)OilRig工具的研究結(jié)果是一脈相承的，但總體來(lái)說(shuō)我們無(wú)法確定整個(gè)數(shù)據(jù)集的來(lái)源，無(wú)法確認(rèn)也不能否認(rèn)這些數(shù)據(jù)沒(méi)有以某種方式被復(fù)制過(guò)。有很大可能數(shù)據(jù)轉(zhuǎn)儲(chǔ)來(lái)自于告密者，但好像只有某個(gè)第三方才能獲取這些數(shù)據(jù)。如果將數(shù)據(jù)轉(zhuǎn)儲(chǔ)看做一個(gè)整體的話，被鎖定的對(duì)象以及TTP與我們過(guò)去對(duì)OilRig所采取的行動(dòng)是一致的。假設(shè)轉(zhuǎn)儲(chǔ)中的數(shù)據(jù)是準(zhǔn)確無(wú)誤的，這就表明OilRig的覆蓋已經(jīng)達(dá)到全球范圍，而大眾一般都認(rèn)為OilRig只在中東地區(qū)肆虐。

有可能受到OilRig波及的地區(qū)和行業(yè)的差異，表明只要是企業(yè)，不管它屬于哪個(gè)區(qū)域和行業(yè)，都需要對(duì)黑客擁有態(tài)勢(shì)感知能力，對(duì)他們的所作所為要有所了解，并隨時(shí)準(zhǔn)備著應(yīng)對(duì)安全威脅。

網(wǎng)站欄目：走進(jìn)黑客組織OilRig
標(biāo)題網(wǎng)址：http://fisionsoft.com.cn/article/dhicesi.html

新聞中心

其他資訊