日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
走進(jìn)黑客組織OilRig

從一次數(shù)據(jù)泄露事件談起

2019年3月中旬,一個(gè)未知賬戶出現(xiàn)在多個(gè)黑客論壇以及Twitter上面,賬戶Mr_L4nnist3r聲稱能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲(chǔ)。

其中,聲明包含了若干系統(tǒng)截屏,OilRig有可能會(huì)使用這些漏洞。一段腳本,可被用作DNS劫持,一段密碼可借助文件名Glimpse.rar對(duì)文檔進(jìn)行保護(hù),其自稱包含了OilRig后門的C2服務(wù)器面板。之后很快,一個(gè)名為@dookhtegan的Twitter賬戶也站出來聲明能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉(zhuǎn)儲(chǔ)。

這個(gè)賬號(hào)使用了一張攝于2004年的著名圖片,一位尋求庇護(hù)的伊朗移民邁赫迪o卡烏西將自己的嘴唇和眼睛縫合,以抗議荷蘭新提議的庇護(hù)法,并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個(gè)圖片而不是其他圖片來表達(dá)抗議的原因。自從賬號(hào)創(chuàng)建以后,就一直在使用這種抽象的圖片作為頭像,這給我們分析誰是始作俑者增加了難度。

OilRig的前世今生

OilRig組織于2016年被 Palo Alto Networks威脅情報(bào)小組 Unit 42發(fā)現(xiàn),這之后,Unit 42長期持續(xù)監(jiān)測(cè)、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業(yè)的其他組織進(jìn)行深度研究,同時(shí)被冠以其他名字如"APT34"以及"Helix Kitten"。OilRig并不復(fù)雜,但在達(dá)成目標(biāo)方面相當(dāng)堅(jiān)持,與其他以間諜為目的的活動(dòng)相比有所不同。同時(shí),OilRig更愿意基于現(xiàn)有模式來發(fā)展威脅手段并采用技術(shù)來達(dá)成目標(biāo)。

經(jīng)過長期研究,我們現(xiàn)在可以揭示出OilRig實(shí)施進(jìn)攻的具體細(xì)節(jié),他們使用何種工具,研發(fā)周期是怎樣的,他們?cè)趯irusTotal作為檢測(cè)系統(tǒng)而使用的時(shí)候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待安全威脅事件,這決定了我們對(duì)組件的認(rèn)識(shí)有點(diǎn)狹隘。

遭受OilRig安全威脅的組織機(jī)構(gòu)甚多,覆蓋行業(yè)甚廣,從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商??傮w來講,我們識(shí)別出將近有13000被盜憑證、100余個(gè)已部署的webshell后門工具,在遍布27個(gè)國家(中國包含在內(nèi))、97個(gè)組織、覆蓋18個(gè)領(lǐng)域的大量遭受非法控制的主機(jī)上安裝了12個(gè)后門會(huì)話進(jìn)程。

數(shù)據(jù)轉(zhuǎn)儲(chǔ)內(nèi)容包括多種類型數(shù)據(jù),他們或者來自于偵測(cè)行動(dòng),也可能來自于OilRig運(yùn)營者針對(duì)某特定組織使用的工具。受此影響的組織分屬多個(gè)行業(yè),從政府、媒體、能源、交通、物流一直到技術(shù)服務(wù)供應(yīng)商。通常,轉(zhuǎn)儲(chǔ)數(shù)據(jù)中會(huì)包含以下信息:

被盜憑證

已經(jīng)部署的webshell URL

后門工具

后門工具的C2 服務(wù)器組件

執(zhí)行DNS劫持的腳本

能夠識(shí)別特定個(gè)人運(yùn)維者的文件

OilRig操作系統(tǒng)截圖

我們會(huì)對(duì)每個(gè)類型的數(shù)據(jù)組展開分析,而不是那些包含有所謂OilRig運(yùn)營者詳細(xì)信息的文件。這些運(yùn)營者會(huì)采用我們之前觀察到的OilRig慣常使用的方法、技術(shù)以及流程(tactics, techniques, and procedures,TTPs)。鑒于缺少對(duì)相關(guān)領(lǐng)域的可視化,我們尚且無法判斷這些帶有運(yùn)營者個(gè)人信息的文件是否準(zhǔn)確,但我們也沒有理由懷疑這些資料就不正確。

通過對(duì)不同工具的追蹤,我們?cè)谶@些轉(zhuǎn)儲(chǔ)數(shù)據(jù)中發(fā)現(xiàn)了一些比較有意思的組件,那就是OilRig的這些威脅者會(huì)使用內(nèi)部稱號(hào)。參考下圖,內(nèi)部稱號(hào)以及我們追蹤這些工具時(shí)所用的關(guān)鍵詞。

結(jié)論

總之,數(shù)據(jù)轉(zhuǎn)儲(chǔ)為我們提供了難得的非同一般的視角,可以讓我們看清黑客行為背后的真相。盡管我們可以確定數(shù)據(jù)集里面提供的后門和webshell程序與之前對(duì)OilRig工具的研究結(jié)果是一脈相承的,但總體來說我們無法確定整個(gè)數(shù)據(jù)集的來源,無法確認(rèn)也不能否認(rèn)這些數(shù)據(jù)沒有以某種方式被復(fù)制過。有很大可能數(shù)據(jù)轉(zhuǎn)儲(chǔ)來自于告密者,但好像只有某個(gè)第三方才能獲取這些數(shù)據(jù)。如果將數(shù)據(jù)轉(zhuǎn)儲(chǔ)看做一個(gè)整體的話,被鎖定的對(duì)象以及TTP與我們過去對(duì)OilRig所采取的行動(dòng)是一致的。假設(shè)轉(zhuǎn)儲(chǔ)中的數(shù)據(jù)是準(zhǔn)確無誤的,這就表明OilRig的覆蓋已經(jīng)達(dá)到全球范圍,而大眾一般都認(rèn)為OilRig只在中東地區(qū)肆虐。

有可能受到OilRig波及的地區(qū)和行業(yè)的差異,表明只要是企業(yè),不管它屬于哪個(gè)區(qū)域和行業(yè),都需要對(duì)黑客擁有態(tài)勢(shì)感知能力,對(duì)他們的所作所為要有所了解,并隨時(shí)準(zhǔn)備著應(yīng)對(duì)安全威脅。


分享題目:走進(jìn)黑客組織OilRig
鏈接分享:http://www.dlmjj.cn/article/dhicesi.html