加QQ81758415
快捷导航

走进黑客组织OilRig

2018-5-15 19:21| 发布者: xlbck| 查看: 49| 评论: 0

摘要: 从一次数据泄露事件谈起  2019年3月中旬,一个未知账户出现在多个黑客论坛以及Twitter上面,账户Mr_L4nnist3r  声称能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。  其中,第一次声明包含了若干系 ...
    从一次数据泄露事件谈起
  2019年3月中旬,一个未知账户出现在多个黑客论坛以及Twitter上面,账户Mr_L4nnist3r
  声称能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。
  其中,第一次声明包含了若干系统截屏,OilRig有可能会使用这些漏洞发起攻击。一段脚本,可被用作DNS劫持,一段密码可借助文件名Glimpse.rar对文档进行保护,其自称包含了OilRig后门的C2服务器面板。之后很快,一个名为@dookhtegan的Twitter账户也站出来声明能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。
  这个账号使用了一张摄于2004年的着名图片,一位寻求庇护的伊朗移民迈赫迪?卡乌西将自己的嘴唇和眼睛缝合,以抗议荷兰新提议的庇护法,并表示将其送回伊朗无异于羊入虎口。我们尚不清楚作者使用这个图片而不是其他图片来表达抗议的原因。自从第一个账号创建以后,就一直在使用这种抽象的图片作为头像,这给我们分析谁是始作俑者增加了难度。
  OilRig的前世今生
  OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,这之后,Unit 42长期持续监测、观察并追踪他们的行踪和变化。后来OilRig被安全行业的其他组织进行深度研究,同时被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不复杂,但在达成目标方面相当坚持,与其他以间谍为目的的活动相比有所不同。同时,OilRig更愿意基于现有攻击模式来发展攻击手段并采用最新技术来达成目标。
  经过长期研究,我们现在可以揭示出OilRig实施进攻的具体细节,他们使用何种工具,研发周期是怎样的,他们在将VirusTotal作为检测系统而使用的时候都能反映出以上问题。一般情况下我们都是站在受害者的角度来看待攻击事件,这决定了我们对攻击组件的认识有点狭隘。
  遭受OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。总体来讲,我们识别出将近有13000被盗凭证、100余个已部署的webshell后门工具,在遍布27个国家(中国包含在内)、97个组织、覆盖18个领域的大量遭受攻击的主机上安装了12个后门会话进程。
  数据转储内容包括多种类型数据,他们或者来自于侦测行动、初步攻击,也可能来自于OilRig运营者针对某特定组织使用的工具。受此影响的组织分属多个行业,从政府、媒体、能源、交通、物流一直到技术服务供应商。通常,转储数据中会包含以下信息:
  • 被盗凭证
  • 借助被盗凭证有可能会被入侵的系统
  • 已经部署的webshell URL
  • 后门工具
  • 后门工具的C2 服务器组件
  • 执行DNS劫持的脚本
  • 能够识别特定个人运维者的文件
  • OilRig操作系统截图
  我们会对每个类型的数据组展开分析,而不是那些包含有所谓OilRig运营者详细信息的文件。这些运营者会采用我们之前观察到的OilRig惯常使用的方法、技术以及流程(tactics, techniques, and procedures,TTPs)。鉴于缺少对相关领域的可视化,我们尚且无法判断这些带有运营者个人信息的文件是否准确,但我们也没有理由怀疑这些资料就不正确。
  通过对不同工具的追踪,我们在这些转储数据中发现了一些比较有意思的组件,那就是OilRig的这些威胁攻击者会使用内部称号。参考下图,内部称号以及我们追踪这些工具时所用的关键词。

鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )