黑客安排OilRig，也被称作APT34或Helix Kitten，于2019年5月初次呈现在公众视界中，自那时起便得到了业内人士的广泛研讨。OilRig安排在进犯手法上并不是特别杂乱，但在追求其使命方针方面极端执着，并且与其他一些从事特务活动的APT安排不同，他们更乐意违背现有的进犯办法，运用新技能来达到自己的方针。在对其长期地盯梢研讨后，咱们现已熟知他们进犯履行的详细细节、运用东西，甚至能经过他们对VirusTotal的运用痕迹来估测他们的开发周期。不过，由于能拜访的数据有限，咱们的剖析更多地是从被进犯方针的视点动身，也就往往会被约束在表层。 最近，一份据称与OilRig活动有关的数据转储数据被不知名人士揭露，内容包含了凭据转储、后门、webshell以及其他一些文件。咱们发现这份数据的确能与OilRig之前的举动、运用的东西集对得上号。此外，经过这份数据，咱们能够追溯咱们之前对OilRig的研讨，比较成果是否存在差异，并添补研讨进程的空白。咱们还能承认BONDUPDATER后门及其服务器组件的功用、几个webshell的外观和功用、安排内部对东西的称号，以及看到OilRig活动在未来延伸全球的或许性。 OilRig针对的安排机构广泛散布在各行各业，包含 *** 、媒体、动力、物流以及技能服务供货商。咱们一共承认了近13,000个被盗证书，超越100个布置的webshell，以及大约12个后门会话，合计散布在27个国家，97个安排和18个职业的受感染主机中。 走漏之源 在2019年3月中旬，一个不知道集体呈现在Twitter和几个黑客论坛上，用户@Mr_L4nnist3r宣称他们能够拜访OilRig的内部东西和数据的转储数据，贴示布告中含有几张疑似OilRig进犯体系的屏幕截图，一个是用于DNS绑架的脚本，还有一个是名为Glimpse.rar的存档文件，里边据说是OilRig后门的指令和操控服务器面板。不久之后，Twitter用户@dookhtegan也出了一篇布告，宣称他们也能够拜访OilRig运用的内部东西和数据的转储数据，如图1所示。这篇布告运用了2004年的一张相片，相片上是一位名叫迈赫迪·卡乌西(Mehdy Kavousi)的伊朗避难者，他以缝合自己的眼睛和嘴巴而轰动一时。这张相片所包含的意思是，回绝他的避难者请求并将他送回伊朗，无异于将他处死。现在还不清楚挑选这幅图画的标志，或许仅仅作为反对的表达，账号的来历也不知道。 图1. @dookhtegan发布的推文，内容提及OilRig相关文件 之后该账号又持续发布了一系列推文，内容是对OilRig安排的反对，并将其归咎到了某个国家和安排，咱们当时还无法验证这背面的实在性，但美国国家反情报和安全中心在2019年的陈述中有记载，OilRig安排与伊朗的相关密不可分。一起该账户的推文中也有能拜访转储数据的直链，是匿名同享的。 发布的文件包含Glimpse.rar，还有来自受感染安排的数百个凭据，以及揭露登录提示的详细信息，还供给了到webshell、webshell源代码以及另一个后门和它服务器组件的链接，这些链接或许曾经就有了，也或许是发布前不久才布置的。 该帐户呈现不久被注销了，但又立刻呈现了一个名为@dookhtegan1的备用帐户，该帐户现在仍处于活动状况。这个帐户会供给曾经揭露的OilRig安排的音讯，但不再有转储数据的链接，而是让那些对数据感兴趣的人经过私家Telegram通道参加同享，如图2所示。 图2.备用帐户@ dookhtegan1的推文，供给带有走漏文件的Telegram通道 转储数据内容 转储数据的内容是各种类型的数据集，好像包含了侦查活动、初始侵略进程以及运用东西，包含： · 被盗的凭据 · 运用被盗凭据登录的潜在体系 · 布置的webshell URL · 后门东西 · 后门东西的指令和操控服务器组件 · 用于履行DNS绑架的脚本 · 标识特定个别运营商的文件 · OilRig操作体系的屏幕截图 除含有OilRig安排人员身份信息的文档之外，咱们剖析了其他每种类型的数据集，它们与之前观察到的OilRig战略，技能和程序（TTP）保持共同。尽管咱们无法承认每个文件的实在性，但也没有理由置疑它们是伪造的。 OilRig盯梢自己各种东西的内部称号如表1所示。 表1. OilRig数据走漏中露出的东西，其内部称号对应安全社区运用的称号 凭据数据 转储数据中一共包含近13,000组凭据。这些证书好像是经过多种技能盗取的，包含运用密码恢复东西MimiKatz或ZhuMimiKatz，或许SQL注入，以及运用一些传统的证书搜集东西包。 该转储数据中列出的安排类型散布在多个职业笔直范畴，但都首要坐落中东地区。咱们无法承认所有这些被盗凭据是否都实在，可是依据之前观察到的活动、时刻戳和已知行为，这些凭据很或许是实在的，当时仍或许有用。 这也能阐明OilRig非常重视根据凭据的进犯，这与大多数特务安排的动机是共同的，由于一旦经过合法凭据取得拜访权限，他们就能够伪装成合法用户，本质上这是一种内部要挟。与运用自定义东西伪装成合法用户的进犯者比较，这种类型的活动愈加难以检测。 根据咱们曩昔的研讨，OilRig倾向于在初始侵略后当即测验晋级特权，然后横向移动到本地Microsoft Exchange服务器，获取多凭据并植入其他东西，如webshells、IIS后门、Ruler等。Ruler是一个开源浸透测验东西包，能够经过盗取的凭据拜访Outlook Web Access（OWA），并乱用内置函数履行各种操作，比方检索大局地址列表，设置歹意电子邮件规矩，履行长途代码履行。 OilRig用到了Ruler的Ruler.Homepage功用。该功用乱用了Microsoft Outlook中的一项功用——答应管理员或用户为收件箱中的任何文件夹设置默认主页。运用盗取的凭据，进犯者运用Ruler经过RPC协议向方针安排的OWA实例发送指令，然后长途为受损收件箱的文件夹设置恣意主页，之后在主页中植入自动检索和履行歹意代码的指令——在OilRig的状况里是后门指令，能够拜访用户正在运用的端点。[1][2]黑客接单网