一份来源未知的数据,揭秘了OilRig组织的全部信息(上)-黑客接单平台

访客5年前黑客资讯1506
黑客安排OilRig,也被称作APT34或Helix Kitten,于2019年5月初次呈现在公众视界中,自那时起便得到了业内人士的广泛研讨。OilRig安排在进犯手法上并不是特别杂乱,但在追求其使命方针方面极端执着,并且与其他一些从事特务活动的APT安排不同,他们更乐意违背现有的进犯办法,运用新技能来达到自己的方针。在对其长期地盯梢研讨后,咱们现已熟知他们进犯履行的详细细节、运用东西,甚至能经过他们对VirusTotal的运用痕迹来估测他们的开发周期。不过,由于能拜访的数据有限,咱们的剖析更多地是从被进犯方针的视点动身,也就往往会被约束在表层。 最近,一份据称与OilRig活动有关的数据转储数据被不知名人士揭露,内容包含了凭据转储、后门、webshell以及其他一些文件。咱们发现这份数据的确能与OilRig之前的举动、运用的东西集对得上号。此外,经过这份数据,咱们能够追溯咱们之前对OilRig的研讨,比较成果是否存在差异,并添补研讨进程的空白。咱们还能承认BONDUPDATER后门及其服务器组件的功用、几个webshell的外观和功用、安排内部对东西的称号,以及看到OilRig活动在未来延伸全球的或许性。 OilRig针对的安排机构广泛散布在各行各业,包含 *** 、媒体、动力、物流以及技能服务供货商。咱们一共承认了近13,000个被盗证书,超越100个布置的webshell,以及大约12个后门会话,合计散布在27个国家,97个安排和18个职业的受感染主机中。 走漏之源 在2019年3月中旬,一个不知道集体呈现在Twitter和几个黑客论坛上,用户@Mr_L4nnist3r宣称他们能够拜访OilRig的内部东西和数据的转储数据,贴示布告中含有几张疑似OilRig进犯体系的屏幕截图,一个是用于DNS绑架的脚本,还有一个是名为Glimpse.rar的存档文件,里边据说是OilRig后门的指令和操控服务器面板。不久之后,Twitter用户@dookhtegan也出了一篇布告,宣称他们也能够拜访OilRig运用的内部东西和数据的转储数据,如图1所示。这篇布告运用了2004年的一张相片,相片上是一位名叫迈赫迪·卡乌西(Mehdy Kavousi)的伊朗避难者,他以缝合自己的眼睛和嘴巴而轰动一时。这张相片所包含的意思是,回绝他的避难者请求并将他送回伊朗,无异于将他处死。现在还不清楚挑选这幅图画的标志,或许仅仅作为反对的表达,账号的来历也不知道。 图1. @dookhtegan发布的推文,内容提及OilRig相关文件 之后该账号又持续发布了一系列推文,内容是对OilRig安排的反对,并将其归咎到了某个国家和安排,咱们当时还无法验证这背面的实在性,但美国国家反情报和安全中心在2019年的陈述中有记载,OilRig安排与伊朗的相关密不可分。一起该账户的推文中也有能拜访转储数据的直链,是匿名同享的。 发布的文件包含Glimpse.rar,还有来自受感染安排的数百个凭据,以及揭露登录提示的详细信息,还供给了到webshell、webshell源代码以及另一个后门和它服务器组件的链接,这些链接或许曾经就有了,也或许是发布前不久才布置的。 该帐户呈现不久被注销了,但又立刻呈现了一个名为@dookhtegan1的备用帐户,该帐户现在仍处于活动状况。这个帐户会供给曾经揭露的OilRig安排的音讯,但不再有转储数据的链接,而是让那些对数据感兴趣的人经过私家Telegram通道参加同享,如图2所示。 图2.备用帐户@ dookhtegan1的推文,供给带有走漏文件的Telegram通道 转储数据内容 转储数据的内容是各种类型的数据集,好像包含了侦查活动、初始侵略进程以及运用东西,包含: · 被盗的凭据 · 运用被盗凭据登录的潜在体系 · 布置的webshell URL · 后门东西 · 后门东西的指令和操控服务器组件 · 用于履行DNS绑架的脚本 · 标识特定个别运营商的文件 · OilRig操作体系的屏幕截图 除含有OilRig安排人员身份信息的文档之外,咱们剖析了其他每种类型的数据集,它们与之前观察到的OilRig战略,技能和程序(TTP)保持共同。尽管咱们无法承认每个文件的实在性,但也没有理由置疑它们是伪造的。 OilRig盯梢自己各种东西的内部称号如表1所示。 表1. OilRig数据走漏中露出的东西,其内部称号对应安全社区运用的称号 凭据数据 转储数据中一共包含近13,000组凭据。这些证书好像是经过多种技能盗取的,包含运用密码恢复东西MimiKatz或ZhuMimiKatz,或许SQL注入,以及运用一些传统的证书搜集东西包。 该转储数据中列出的安排类型散布在多个职业笔直范畴,但都首要坐落中东地区。咱们无法承认所有这些被盗凭据是否都实在,可是依据之前观察到的活动、时刻戳和已知行为,这些凭据很或许是实在的,当时仍或许有用。 这也能阐明OilRig非常重视根据凭据的进犯,这与大多数特务安排的动机是共同的,由于一旦经过合法凭据取得拜访权限,他们就能够伪装成合法用户,本质上这是一种内部要挟。与运用自定义东西伪装成合法用户的进犯者比较,这种类型的活动愈加难以检测。 根据咱们曩昔的研讨,OilRig倾向于在初始侵略后当即测验晋级特权,然后横向移动到本地Microsoft Exchange服务器,获取多凭据并植入其他东西,如webshells、IIS后门、Ruler等。Ruler是一个开源浸透测验东西包,能够经过盗取的凭据拜访Outlook Web Access(OWA),并乱用内置函数履行各种操作,比方检索大局地址列表,设置歹意电子邮件规矩,履行长途代码履行。 OilRig用到了Ruler的Ruler.Homepage功用。该功用乱用了Microsoft Outlook中的一项功用——答应管理员或用户为收件箱中的任何文件夹设置默认主页。运用盗取的凭据,进犯者运用Ruler经过RPC协议向方针安排的OWA实例发送指令,然后长途为受损收件箱的文件夹设置恣意主页,之后在主页中植入自动检索和履行歹意代码的指令——在OilRig的状况里是后门指令,能够拜访用户正在运用的端点。[1][2]黑客接单网

相关文章

观看赌博钱被没收钱还能要回来么?懂法的进

Windows Server 2008 x86再变换一下192.168.123.212观看赌博钱被没收钱还能要回来么?懂法的进, 服务端的config文件变为 response.setContentT...

赌博充值的钱可以通过银行弄回来吗

利用该漏洞,攻击者可安装程序、查看、更改或删除数据、或者创建拥有完全用户权限的新帐户。 这个漏洞存在诱惑力可想而知,只要POC放出,就能够在大多数人没来得及更新的情况下重演WannaCry。 http...

微信如何定位自己位置,微信找黑客,被骗了以后找的黑客

Registry registry = LocateRegistry.createRegistry(1099);$obj = json_decode($data); root@e:/rootkit#...

怎么偷偷同步微信,找黑客破解qq要多少钱,找黑客追回赌资

前一个寄存网卡接口、IP、子网掩码等,后一个主要是寄存DNS。 此外,AppUse预装了许多"hack me"运用,包含他们的服务端。 关于浸透测验者而言,在测验几个新东西或许技能以及一些意图时,有这...

能接单的黑客微信,现实生活那么能找黑客,找黑客改教务系统成绩六级

对Web服务器的日志文件的拜访: /var/log/httpd/access_log3,方针站点:freebuf.com上存在灵敏数据或许能够在方针站点上履行一些灵敏操作。 3...

恣意用户暗码重置(二):重置凭据接纳端可篡改

在逻辑缝隙中,恣意用户暗码重置最为常见,或许呈现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...