日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
解碼針對(duì)工業(yè)工程領(lǐng)域的網(wǎng)絡(luò)攻擊OperationGhoul(食尸鬼行動(dòng))

??

專注于為中小企業(yè)提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)達(dá)坂城免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了1000+企業(yè)的穩(wěn)健成長(zhǎng),幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

??

1 介紹

卡巴斯基于2016年6月監(jiān)測(cè)到了Operation Ghoul(食尸鬼行動(dòng))網(wǎng)絡(luò)攻擊,Operation Ghoul針對(duì)30多個(gè)國(guó)家的工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)發(fā)起了定向滲透入侵。目前,卡巴斯基發(fā)現(xiàn),有130多個(gè)機(jī)構(gòu)已被確認(rèn)為這類攻擊的受害者。

該攻擊最早可以追溯至2015年3月,值得注意的是,攻擊早期目標(biāo)多為中小企業(yè)涉及金融相關(guān)的銀行帳戶和知識(shí)產(chǎn)權(quán)。

*Ghoul,食尸鬼,阿拉伯傳說中以尸體血肉或幼兒為食的惡魔,今天也為貪婪和物質(zhì)主義的形容。

2 主要攻擊媒介:惡意郵件

攻擊者以偽造的郵箱地址向受害者發(fā)送惡意電子郵件,郵件包含7z格式的惡意附件或釣魚鏈接。下圖為釣魚郵件樣例,內(nèi)容像是阿聯(lián)酋國(guó)家銀行相關(guān)的付款文件。

??

??

惡意附件

在魚叉式釣魚郵件中,7z文件包含一個(gè)形如Emiratesnbd_Advice .exe的惡意程序,其MD5哈希值如下:

fc8da575077ae3db4f9b5991ae67dab1  b8f6e6a0cb1bcf1f100b8d8ee5cccc4c  08c18d38809910667bbed747b2746201  55358155f96b67879938fe1a14a00dd6

郵件附件MD5哈希值:

5f684750129e83b9b47dc53c96770e09  460e18f5ae3e3eb38f8cae911d447590

為了竊取核心機(jī)密和其它重要信息,這些魚叉式郵件主要發(fā)送對(duì)象為目標(biāo)機(jī)構(gòu)的高級(jí)管理人員,如:

  • 首席執(zhí)行官
  • 首席運(yùn)營(yíng)官
  • 總經(jīng)理
  • 銷售和市場(chǎng)營(yíng)銷總經(jīng)理
  • 副總經(jīng)理
  • 財(cái)務(wù)和行政經(jīng)理
  • 業(yè)務(wù)發(fā)展經(jīng)理
  • 經(jīng)理
  • 出口部門經(jīng)理
  • 財(cái)務(wù)經(jīng)理
  • 采購(gòu)經(jīng)理
  • 后勤主管
  • 銷售主管
  • 監(jiān)督人員
  • 工程師

3 技術(shù)細(xì)節(jié)

惡意軟件功能

攻擊主要利用Hawkeye商用間諜軟件,它能為攻擊者提供各種工具,另外,其匿名性還能逃避歸因調(diào)查。惡意軟件植入后收集目標(biāo)系統(tǒng)以下信息:

  • 按鍵記錄
  • 剪貼板數(shù)據(jù)
  • FileZillaFTP服務(wù)器憑據(jù)
  • 本地瀏覽器帳戶數(shù)據(jù)
  • 本地消息客戶端帳戶數(shù)據(jù)(PalTalk、GoogleTalk,AIM…)
  • 本地電子郵件客戶端帳戶數(shù)據(jù)(Outlook,Windows Live mail…)
  • 安裝程序許可證信息

數(shù)據(jù)竊取

攻擊者主要用以下方式發(fā)送竊取數(shù)據(jù):

HTTP方式:

發(fā)送至中轉(zhuǎn)機(jī) hxxp://192.169.82.86

電子郵件方式:

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com

ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業(yè)和技術(shù)行業(yè)網(wǎng)站。

惡意軟件指令

惡意軟件通過被入侵的中轉(zhuǎn)系統(tǒng)192.169.82.86收集受害者電腦信息:

hxxp://192.169.82.86/~loftyco/skool/login.php  hxxp://192.169.82.86/~loftyco/okilo/login.php

??

??

4 受攻擊機(jī)構(gòu)信息

攻擊者主要對(duì)以下幾個(gè)國(guó)家的工業(yè)領(lǐng)域機(jī)構(gòu)發(fā)起滲透攻擊:

??

??

Other行列為至少有3個(gè)工業(yè)機(jī)構(gòu)受到攻擊入侵的國(guó)家,其中有:瑞士、直布羅陀、美國(guó)、瑞典、中國(guó)、法國(guó)、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。

受攻擊行業(yè)信息

從受害機(jī)構(gòu)行業(yè)類型分布可以看出,攻擊者主要以制造業(yè)和工業(yè)設(shè)備生產(chǎn)機(jī)構(gòu)為主要滲透入侵目標(biāo):

??

??

其它攻擊信息

攻擊者針對(duì)以下操作系統(tǒng)平臺(tái)進(jìn)行:

  • Windows
  • Mac OS X
  • Ubuntu
  • iPhone
  • Android

目前惡意軟件的檢測(cè)簽名:

trojan.msil.shopbot.ww  trojan.win32.fsysna.dfah  trojan.win32.generic

5 總結(jié)

Operation Ghoul 是針對(duì)工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)的網(wǎng)絡(luò)攻擊,建議用戶和相關(guān)機(jī)構(gòu):

(1)在查看或打開郵件內(nèi)容及附件時(shí)請(qǐng)務(wù)必小心慎重;

(2)為了應(yīng)對(duì)安全威脅,應(yīng)該針對(duì)高級(jí)管理人員進(jìn)行信息安全培訓(xùn)。

6 IOC威脅指標(biāo)

惡意軟件相關(guān)文件和路徑信息:

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe  C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe  C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe  C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe  C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat  C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt  C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt  C:\ProgramData\Mails.txt  C:\ProgramData\Browsers.txt

惡意軟件相關(guān)域名:

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe  C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe  C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe  C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe  C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat  C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt  C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt  C:\ProgramData\Mails.txt  C:\ProgramData\Browsers.txt

攻擊活動(dòng)釣魚鏈接:

hxxp://free.meedlifespeed[.]com/ComCast/  hxxp://emailreferentie.appleid.apple.nl.468213579[.]com  hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php  hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo…  hxxp://192.169.82.86/~gurgenle/verify/webmail/  hxxp://customer.comcast.com.aboranian[.]com/login  hxxp://apple-recovery[.]us/  hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html  hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809  hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html  hxxp://www.deluxepharmacy[.]net

 【編輯推薦】

  1. ??美國(guó)意欲對(duì)伊朗關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊??
  2. ??微軟增強(qiáng)其網(wǎng)絡(luò)攻擊防御能力 打造全新黑客防御作戰(zhàn)室??
  3. ??“工業(yè)物聯(lián)網(wǎng)”成網(wǎng)絡(luò)攻擊的首要目標(biāo)??
  4. ??安天研究報(bào)告:白象的舞步——來自南亞次大陸的網(wǎng)絡(luò)攻擊??

分享名稱:解碼針對(duì)工業(yè)工程領(lǐng)域的網(wǎng)絡(luò)攻擊OperationGhoul(食尸鬼行動(dòng))
文章URL:http://www.dlmjj.cn/article/cdhehec.html