從一次數(shù)據(jù)泄露事件談起

2019年3月中旬，一個未知賬戶出現(xiàn)在多個黑客論壇以及Twitter上面，賬戶Mr_L4nnist3r聲稱能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉儲。

其中，聲明包含了若干系統(tǒng)截屏，OilRig有可能會使用這些漏洞。一段腳本，可被用作DNS劫持，一段密碼可借助文件名Glimpse.rar對文檔進行保護，其自稱包含了OilRig后門的C2服務器面板。之后很快，一個名為@dookhtegan的Twitter賬戶也站出來聲明能夠通過黑客組織OilRig使用的內(nèi)部工具和數(shù)據(jù)訪問數(shù)據(jù)轉儲。

這個賬號使用了一張攝于2004年的著名圖片，一位尋求庇護的伊朗移民邁赫迪o卡烏西將自己的嘴唇和眼睛縫合，以抗議荷蘭新提議的庇護法，并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個圖片而不是其他圖片來表達抗議的原因。自從賬號創(chuàng)建以后，就一直在使用這種抽象的圖片作為頭像，這給我們分析誰是始作俑者增加了難度。

OilRig的前世今生

OilRig組織于2016年被 Palo Alto Networks威脅情報小組 Unit 42發(fā)現(xiàn)，這之后，Unit 42長期持續(xù)監(jiān)測、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業(yè)的其他組織進行深度研究，同時被冠以其他名字如"APT34"以及"Helix Kitten"。OilRig并不復雜，但在達成目標方面相當堅持，與其他以間諜為目的的活動相比有所不同。同時，OilRig更愿意基于現(xiàn)有模式來發(fā)展威脅手段并采用技術來達成目標。

經(jīng)過長期研究，我們現(xiàn)在可以揭示出OilRig實施進攻的具體細節(jié)，他們使用何種工具，研發(fā)周期是怎樣的，他們在將VirusTotal作為檢測系統(tǒng)而使用的時候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待安全威脅事件，這決定了我們對組件的認識有點狹隘。

遭受OilRig安全威脅的組織機構甚多，覆蓋行業(yè)甚廣，從政府、媒體、能源、交通、物流一直到技術服務供應商?？傮w來講，我們識別出將近有13000被盜憑證、100余個已部署的webshell后門工具，在遍布27個國家(中國包含在內(nèi))、97個組織、覆蓋18個領域的大量遭受非法控制的主機上安裝了12個后門會話進程。

數(shù)據(jù)轉儲內(nèi)容包括多種類型數(shù)據(jù)，他們或者來自于偵測行動，也可能來自于OilRig運營者針對某特定組織使用的工具。受此影響的組織分屬多個行業(yè)，從政府、媒體、能源、交通、物流一直到技術服務供應商。通常，轉儲數(shù)據(jù)中會包含以下信息：

被盜憑證

已經(jīng)部署的webshell URL

后門工具

后門工具的C2 服務器組件

執(zhí)行DNS劫持的腳本

能夠識別特定個人運維者的文件

OilRig操作系統(tǒng)截圖

我們會對每個類型的數(shù)據(jù)組展開分析，而不是那些包含有所謂OilRig運營者詳細信息的文件。這些運營者會采用我們之前觀察到的OilRig慣常使用的方法、技術以及流程(tactics, techniques, and procedures，TTPs)。鑒于缺少對相關領域的可視化，我們尚且無法判斷這些帶有運營者個人信息的文件是否準確，但我們也沒有理由懷疑這些資料就不正確。

通過對不同工具的追蹤，我們在這些轉儲數(shù)據(jù)中發(fā)現(xiàn)了一些比較有意思的組件，那就是OilRig的這些威脅者會使用內(nèi)部稱號。參考下圖，內(nèi)部稱號以及我們追蹤這些工具時所用的關鍵詞。

結論

總之，數(shù)據(jù)轉儲為我們提供了難得的非同一般的視角，可以讓我們看清黑客行為背后的真相。盡管我們可以確定數(shù)據(jù)集里面提供的后門和webshell程序與之前對OilRig工具的研究結果是一脈相承的，但總體來說我們無法確定整個數(shù)據(jù)集的來源，無法確認也不能否認這些數(shù)據(jù)沒有以某種方式被復制過。有很大可能數(shù)據(jù)轉儲來自于告密者，但好像只有某個第三方才能獲取這些數(shù)據(jù)。如果將數(shù)據(jù)轉儲看做一個整體的話，被鎖定的對象以及TTP與我們過去對OilRig所采取的行動是一致的。假設轉儲中的數(shù)據(jù)是準確無誤的，這就表明OilRig的覆蓋已經(jīng)達到全球范圍，而大眾一般都認為OilRig只在中東地區(qū)肆虐。

有可能受到OilRig波及的地區(qū)和行業(yè)的差異，表明只要是企業(yè)，不管它屬于哪個區(qū)域和行業(yè)，都需要對黑客擁有態(tài)勢感知能力，對他們的所作所為要有所了解，并隨時準備著應對安全威脅。