一份来源未知的数据,揭秘了OilRig组织的全部信息(上)-黑客接单平台

访客5年前黑客资讯1509
黑客安排OilRig,也被称作APT34或Helix Kitten,于2019年5月初次呈现在公众视界中,自那时起便得到了业内人士的广泛研讨。OilRig安排在进犯手法上并不是特别杂乱,但在追求其使命方针方面极端执着,并且与其他一些从事特务活动的APT安排不同,他们更乐意违背现有的进犯办法,运用新技能来达到自己的方针。在对其长期地盯梢研讨后,咱们现已熟知他们进犯履行的详细细节、运用东西,甚至能经过他们对VirusTotal的运用痕迹来估测他们的开发周期。不过,由于能拜访的数据有限,咱们的剖析更多地是从被进犯方针的视点动身,也就往往会被约束在表层。 最近,一份据称与OilRig活动有关的数据转储数据被不知名人士揭露,内容包含了凭据转储、后门、webshell以及其他一些文件。咱们发现这份数据的确能与OilRig之前的举动、运用的东西集对得上号。此外,经过这份数据,咱们能够追溯咱们之前对OilRig的研讨,比较成果是否存在差异,并添补研讨进程的空白。咱们还能承认BONDUPDATER后门及其服务器组件的功用、几个webshell的外观和功用、安排内部对东西的称号,以及看到OilRig活动在未来延伸全球的或许性。 OilRig针对的安排机构广泛散布在各行各业,包含 *** 、媒体、动力、物流以及技能服务供货商。咱们一共承认了近13,000个被盗证书,超越100个布置的webshell,以及大约12个后门会话,合计散布在27个国家,97个安排和18个职业的受感染主机中。 走漏之源 在2019年3月中旬,一个不知道集体呈现在Twitter和几个黑客论坛上,用户@Mr_L4nnist3r宣称他们能够拜访OilRig的内部东西和数据的转储数据,贴示布告中含有几张疑似OilRig进犯体系的屏幕截图,一个是用于DNS绑架的脚本,还有一个是名为Glimpse.rar的存档文件,里边据说是OilRig后门的指令和操控服务器面板。不久之后,Twitter用户@dookhtegan也出了一篇布告,宣称他们也能够拜访OilRig运用的内部东西和数据的转储数据,如图1所示。这篇布告运用了2004年的一张相片,相片上是一位名叫迈赫迪·卡乌西(Mehdy Kavousi)的伊朗避难者,他以缝合自己的眼睛和嘴巴而轰动一时。这张相片所包含的意思是,回绝他的避难者请求并将他送回伊朗,无异于将他处死。现在还不清楚挑选这幅图画的标志,或许仅仅作为反对的表达,账号的来历也不知道。 图1. @dookhtegan发布的推文,内容提及OilRig相关文件 之后该账号又持续发布了一系列推文,内容是对OilRig安排的反对,并将其归咎到了某个国家和安排,咱们当时还无法验证这背面的实在性,但美国国家反情报和安全中心在2019年的陈述中有记载,OilRig安排与伊朗的相关密不可分。一起该账户的推文中也有能拜访转储数据的直链,是匿名同享的。 发布的文件包含Glimpse.rar,还有来自受感染安排的数百个凭据,以及揭露登录提示的详细信息,还供给了到webshell、webshell源代码以及另一个后门和它服务器组件的链接,这些链接或许曾经就有了,也或许是发布前不久才布置的。 该帐户呈现不久被注销了,但又立刻呈现了一个名为@dookhtegan1的备用帐户,该帐户现在仍处于活动状况。这个帐户会供给曾经揭露的OilRig安排的音讯,但不再有转储数据的链接,而是让那些对数据感兴趣的人经过私家Telegram通道参加同享,如图2所示。 图2.备用帐户@ dookhtegan1的推文,供给带有走漏文件的Telegram通道 转储数据内容 转储数据的内容是各种类型的数据集,好像包含了侦查活动、初始侵略进程以及运用东西,包含: · 被盗的凭据 · 运用被盗凭据登录的潜在体系 · 布置的webshell URL · 后门东西 · 后门东西的指令和操控服务器组件 · 用于履行DNS绑架的脚本 · 标识特定个别运营商的文件 · OilRig操作体系的屏幕截图 除含有OilRig安排人员身份信息的文档之外,咱们剖析了其他每种类型的数据集,它们与之前观察到的OilRig战略,技能和程序(TTP)保持共同。尽管咱们无法承认每个文件的实在性,但也没有理由置疑它们是伪造的。 OilRig盯梢自己各种东西的内部称号如表1所示。 表1. OilRig数据走漏中露出的东西,其内部称号对应安全社区运用的称号 凭据数据 转储数据中一共包含近13,000组凭据。这些证书好像是经过多种技能盗取的,包含运用密码恢复东西MimiKatz或ZhuMimiKatz,或许SQL注入,以及运用一些传统的证书搜集东西包。 该转储数据中列出的安排类型散布在多个职业笔直范畴,但都首要坐落中东地区。咱们无法承认所有这些被盗凭据是否都实在,可是依据之前观察到的活动、时刻戳和已知行为,这些凭据很或许是实在的,当时仍或许有用。 这也能阐明OilRig非常重视根据凭据的进犯,这与大多数特务安排的动机是共同的,由于一旦经过合法凭据取得拜访权限,他们就能够伪装成合法用户,本质上这是一种内部要挟。与运用自定义东西伪装成合法用户的进犯者比较,这种类型的活动愈加难以检测。 根据咱们曩昔的研讨,OilRig倾向于在初始侵略后当即测验晋级特权,然后横向移动到本地Microsoft Exchange服务器,获取多凭据并植入其他东西,如webshells、IIS后门、Ruler等。Ruler是一个开源浸透测验东西包,能够经过盗取的凭据拜访Outlook Web Access(OWA),并乱用内置函数履行各种操作,比方检索大局地址列表,设置歹意电子邮件规矩,履行长途代码履行。 OilRig用到了Ruler的Ruler.Homepage功用。该功用乱用了Microsoft Outlook中的一项功用——答应管理员或用户为收件箱中的任何文件夹设置默认主页。运用盗取的凭据,进犯者运用Ruler经过RPC协议向方针安排的OWA实例发送指令,然后长途为受损收件箱的文件夹设置恣意主页,之后在主页中植入自动检索和履行歹意代码的指令——在OilRig的状况里是后门指令,能够拜访用户正在运用的端点。[1][2]黑客接单网

相关文章

黑客工具_能在淘宝找黑客办事吗6-棋牌输了找黑客

Elasticsearch的协议彻底是根据HTTP协议的,所以你底子不需要经过什么技巧就能够和它通讯了。 尽管咱们能够履行任何指令,但实际上咱们无法检索成果。 这是由于浏览器的同源战略,这个战略能够确...

技术培训网_找黑客改成绩犯法吗-找专业黑客

「技术培训网_找黑客改成绩犯法吗-找专业黑客」而这个参数强壮的国产射频芯片激起了咱们的爱好,经过一些发掘,发现这个芯片本来山寨自NORDIC的nRF24L01+,没错,便是这个声称性价比之王的nRF2...

黑客盗号在线接单平台,找黑客 会盗号的 有密保也会盗的,找黑客黑网站多少钱

这就是福音啊,api.spreaker.com/whoami链接包括了已登录用户的一切灵敏信息:Bypass WAF:public void registerExtenderCallbacks(IBu...

黑客接单 免定金_黑客帮忙找手机

16、football (↓ 7)陈述显现,政府、交际、戎行、国防仍然是 APT 进犯者的首要方针,动力、电力、医疗、工业等国家基础设施性职业也正面对着APT进犯的危险。 而金融职业首要面对一些老练的...

私人黑客接单,找黑客消除714网贷数据,找网络高手黑客

在admin/plugin.php插件上传处存在上传缝隙,经过上传zip紧缩的文件,即可上传木马文件。 在plugin.php约79行处的上传点当action为upload_zip进行判别,先判别是否...

黑客攻击软件_找黑客查监控-yy上找黑客

'ADMIN_PASS' => '".$_POST['db_pass']' //创始人暗码 -f调用暗码库文件,例如:/usr/share/crunch/charset.l...