走進黑客組織OilRig
從一次資料洩露事件談起
2019年3月中旬,一個未知賬戶出現在多個黑客論壇以及Twitter上面,賬戶Mr_L4nnist3r聲稱能夠通過資料轉儲(data dump)訪問黑客組織OilRig內部使用的工具和資料。
其中,第一次宣告包含了若干系統截圖,OilRig有可能會使用這些漏洞發起攻擊。一段指令碼,可被用作DNS劫持,一段密碼可藉助檔名Glimpse.rar對文件進行保護,其自稱包含了OilRig後門的C2伺服器面板。之後很快,一個名為@dookhtegan的Twitter賬戶也站出來發表了類似宣告。
這個賬號使用了一張攝於2004年的著名圖片,一位尋求庇護的伊朗移民邁赫迪•卡烏西將自己的嘴脣和眼睛縫合,以抗議荷蘭新提議的庇護法,並表示將其送回伊朗無異於羊入虎口。我們尚不清楚作者使用這個圖片而不是其他圖片來表達抗議的原因。自從第一個賬號建立以後,就一直在使用這種抽象的圖片作為頭像,這給我們分析誰是始作俑者增加了難度。
OilRig的前世今生
OilRig組織於2016年首次被 Palo Alto Networks威脅情報小組 Unit 42發現,這之後,Unit 42長期持續監測、觀察並追蹤他們的行蹤和變化。後來OilRig被安全行業的其他組織進行深度研究,同時被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig並不複雜,但在達成目標方面相當堅持,與其他以間諜為目的的活動相比有所不同。同時,OilRig更願意基於現有攻擊模式來發展攻擊手段並採用最新技術來達成目標。
經過長期研究,我們現在可以揭示出OilRig實施進攻的具體細節,他們使用何種工具,研發週期是怎樣的,他們在將VirusTotal作為檢測系統而使用的時候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待攻擊事件,這決定了我們對攻擊元件的認識有點狹隘。
遭受OilRig攻擊的組織機構甚多,覆蓋行業甚廣,從政府、媒體、能源、交通、物流一直到技術服務供應商。總體來講,我們識別出將近有13000被盜憑證、100餘個已部署的webshell後門工具,在遍佈27個國家(中國包含在內)、97個組織、覆蓋18個領域的大量遭受攻擊的主機上安裝了12個後門會話程序。
這次洩漏的資料包括多種型別,他們或者來自於偵測行動、初步攻擊,也可能來自於OilRig運營者針對某特定組織使用的工具。受此影響的組織分屬多個行業,從政府、媒體、能源、交通、物流一直到技術服務供應商。這個資料集包含:
- 被盜憑證
- 藉助被盜憑證有可能會被入侵的系統
- 已經部署的webshell URL
- 後門工具
- 後門工具的C2 伺服器元件
- 執行DNS劫持的指令碼
- 能夠識別特定個人運維者的檔案
- OilRig作業系統截圖
我們會對每個型別的資料組展開分析,而不是那些包含有所謂OilRig運營者詳細資訊的檔案。這些運營者會採用我們之前觀察到的OilRig慣常使用的方法、技術以及流程(tactics, techniques, and procedures,TTPs)。鑑於缺少對相關領域的視覺化,我們尚且無法判斷這些帶有運營者個人資訊的檔案是否準確,但我們也沒有理由懷疑這些資料就不正確。
通過對不同工具的追蹤,我們在這些轉儲資料中發現了一些比較有意思的元件,那就是OilRig的這些威脅攻擊者會使用內部稱號。參考下圖,內部稱號以及我們追蹤這些工具時所用的關鍵詞。
結論
總之,這些洩漏的資料為我們提供了難得的非同一般的視角,可以讓我們看清攻擊者行為背後的真相。儘管我們可以確定資料集裡面提供的後門和webshell程式與之前對OilRig工具的研究結果是一脈相承的,但總體來說我們無法確定整個資料集的來源,無法確認也不能否認這些資料沒有以某種方式被複制過。這些資料有很大可能來自於告密者,但好像只有某個第三方才能獲取這些資料。如果將這些資料看做一個整體的話,被鎖定的物件以及TTP與我們過去對OilRig所採取的行動是一致的。假設這些資料準確無誤,這就表明 OilRig的覆蓋已經達到全球範圍,而大眾一般都認為OilRig只在中東地區肆虐。 有可能受到OilRig波及的地區和行業的差異。這表明只要是企業,不管它屬於哪個區域和行業,都需要對攻擊者擁有態勢感知能力,對他們的所作所為要有所瞭解,並隨時準備著應對攻擊。