欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一份来源未知的数据,揭秘了OilRig组织的全部信息(上)

来源:本站整理 作者:佚名 时间:2019-05-08 TAG: 我要投稿

黑客组织OilRig,也被称作APT34或Helix Kitten,于2016年5月首次出现在公众视野中,自那时起便得到了业内人士的广泛研究。OilRig组织在攻击手段上并不是特别复杂,但在追求其任务目标方面极其执着,而且与其他一些从事间谍活动的APT组织不同,他们更愿意偏离现有的攻击方法,使用新技术来达成自己的目标。在对其长时间地跟踪研究后,我们已经熟知他们攻击执行的具体细节、使用工具,甚至能通过他们对VirusTotal的使用痕迹来推测他们的开发周期。不过,由于能访问的数据有限,我们的分析更多地是从被攻击对象的角度出发,也就往往会被限制在表层。
最近,一份据称与OilRig活动有关的数据转储数据被不知名人士公开,内容囊括了凭据转储、后门、webshell以及其他一些文件。我们发现这份数据确实能与OilRig之前的行动、使用的工具集对得上号。此外,通过这份数据,我们能够追溯我们之前对OilRig的研究,比较结果是否存在差异,并填补研究过程的空白。我们还能确定BONDUPDATER后门及其服务器组件的功能、几个webshell的外观和功能、组织内部对工具的称呼,以及看到OilRig活动在未来蔓延全球的可能性。
OilRig针对的组织机构广泛分布在各行各业,包括政府、媒体、能源、物流以及技术服务供应商。我们总共确定了近13,000个被盗证书,超过100个部署的webshell,以及大约12个后门会话,共计分布在27个国家,97个组织和18个行业的受感染主机中。
泄漏之源
在2019年3月中旬,一个未知团体出现在Twitter和几个黑客论坛上,用户@Mr_L4nnist3r声称他们可以访问OilRig的内部工具和数据的转储数据,贴示公告中含有几张疑似OilRig攻击系统的屏幕截图,一个是用于DNS劫持的脚本,还有一个是名为Glimpse.rar的存档文件,里面据说是OilRig后门的命令和控制服务器面板。不久之后,Twitter用户@dookhtegan也出了一篇公告,声称他们也可以访问OilRig使用的内部工具和数据的转储数据,如图1所示。这篇公告使用了2004年的一张照片,照片上是一位名叫迈赫迪·卡乌西(Mehdy Kavousi)的伊朗避难者,他以缝合自己的眼睛和嘴巴而震动一时。这张照片所涵盖的意思是,拒绝他的避难者申请并将他送回伊朗,无异于将他处死。目前还不清楚选择这幅图像的象征,也许只是作为抗议的表达,账号的来历也未知。

图1. @dookhtegan发布的推文,内容提及OilRig相关文件
之后该账号又继续发布了一系列推文,内容是对OilRig组织的抗议,并将其归咎到了某个国家和组织,我们当前还无法验证这背后的真实性,但美国国家反情报和安全中心在2018年的报告中有记载,OilRig组织与伊朗的关联密不可分。同时该账户的推文中也有能访问转储数据的直链,是匿名共享的。
发布的文件包括Glimpse.rar,还有来自受感染组织的数百个凭据,以及公开登录提示的详细信息,还提供了到webshell、webshell源代码以及另一个后门和它服务器组件的链接,这些链接可能以前就有了,也可能是发布前不久才部署的。
该帐户出现不久被注销了,但又马上出现了一个名为@dookhtegan1的备用帐户,该帐户目前仍处于活动状态。这个帐户会提供以前公开的OilRig组织的消息,但不再有转储数据的链接,而是让那些对数据感兴趣的人通过私人Telegram通道加入共享,如图2所示。

图2.备用帐户@ dookhtegan1的推文,提供带有泄漏文件的Telegram通道
转储数据内容
转储数据的内容是各种类型的数据集,似乎包含了侦察活动、初始入侵过程以及使用工具,包括:
· 被盗的凭据
· 使用被盗凭证登录的潜在系统
· 部署的webshell URL
· 后门工具
· 后门工具的命令和控制服务器组件
· 用于执行DNS劫持的脚本
· 标识特定个体运营商的文件
· OilRig操作系统的屏幕截图
除含有OilRig组织人员身份信息的文档之外,我们分析了其他每种类型的数据集,它们与之前观察到的OilRig策略,技术和程序(TTP)保持一致。虽然我们无法确认每个文件的真实性,但也没有理由怀疑它们是捏造的。
OilRig跟踪自己各种工具的内部名称如表1所示。

表1. OilRig数据泄露中暴露的工具,其内部名称对应安全社区使用的名称
凭证数据
转储数据中总共包含近13,000组凭证。这些证书似乎是通过多种技术窃取的,包括使用密码恢复工具MimiKatz或ZhuMimiKatz,或者SQL注入,以及使用一些传统的证书收集工具包。
该转储数据中列出的组织类型分布在多个行业垂直领域,但都主要位于中东地区。我们无法确认所有这些被盗凭证是否都真实,但是根据之前观察到的活动、时间戳和已知行为,这些凭证很可能是真实的,当前仍可能有效。
这也能说明OilRig非常重视基于凭据的攻击,这与大多数间谍组织的动机是一致的,因为一旦通过合法凭证获得访问权限,他们就能够伪装成合法用户,本质上这是一种内部威胁。与使用自定义工具伪装成合法用户的攻击者相比,这种类型的活动更加难以检测。
基于我们过去的研究,OilRig倾向于在初始入侵后立即尝试升级特权,然后横向移动到本地Microsoft Exchange服务器,获取多凭据并植入其他工具,如webshells、IIS后门、Ruler等。Ruler是一个开源渗透测试工具包,能够通过窃取的凭据访问Outlook Web Access(OWA),并滥用内置函数执行各种操作,比如检索全局地址列表,设置恶意电子邮件规则,执行远程代码执行。
OilRig用到了Ruler的Ruler.Homepage功能。该功能滥用了Microsoft Outlook中的一项功能——允许管理员或用户为收件箱中的任何文件夹设置默认主页。使用窃取的凭证,攻击者利用Ruler通过RPC协议向目标组织的OWA实例发送命令,然后远程为受损收件箱的文件夹设置任意主页,之后在主页中植入自动检索和执行恶意代码的命令——在OilRig的情况里是后门命令,可以访问用户正在使用的端点。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载