走进黑客组织OilRig

从一次数据泄露事件谈起

2019年3月中旬，一个未知账户出现在多个黑客论坛以及Twitter上面，账户Mr_L4nnist3r声称能够通过数据转储（data dump）访问黑客组织OilRig内部使用的 工具 和数据。

其中，第一次声明包含了若干系统截屏，OilRig有可能会使用这些漏洞发起攻击。一段脚本，可被用作DNS劫持，一段密码可借助文件名Glimpse.rar对文档进行保护，其自称包含了OilRig后门的C2服务器面板。之后很快，一个名为@dookhtegan的Twitter账户也站出来发表了类似声明。

这个账号使用了一张摄于2004年的著名图片，一位寻求庇护的伊朗移民迈赫迪•卡乌西将自己的嘴唇和眼睛缝合，以抗议荷兰新提议的庇护法，并表示将其送回伊朗无异于羊入虎口。我们尚不清楚作者使用这个图片而不是其他图片来表达抗议的原因。自从第一个账号创建以后，就一直在使用这种抽象的图片作为头像，这给我们分析谁是始作俑者增加了难度。

OilRig的前世今生

OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现，这之后，Unit 42长期持续监测、观察并追踪他们的行踪和变化。后来OilRig被安全行业的其他组织进行深度研究，同时被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不复杂，但在达成目标方面相当坚持，与其他以间谍为目的的活动相比有所不同。同时，OilRig更愿意基于现有攻击模式来发展攻击手段并采用最新技术来达成目标。

经过长期研究，我们现在可以揭示出OilRig实施进攻的具体细节，他们使用何种工具，研发周期是怎样的，他们在将VirusTotal作为检测系统而使用的时候都能反映出以上问题。一般情况下我们都是站在受害者的角度来看待攻击事件，这决定了我们对攻击组件的认识有点狭隘。

遭受OilRig攻击的组织机构甚多，覆盖行业甚广，从政府、媒体、能源、交通、物流一直到技术服务供应商。总体来讲，我们识别出将近有13000被盗凭证、100余个已部署的webshell后门工具，在遍布27个国家（中国包含在内）、97个组织、覆盖18个领域的大量遭受攻击的主机上安装了12个后门会话进程。

这次泄漏的数据包括多种类型，他们或者来自于侦测行动、初步攻击，也可能来自于OilRig运营者针对某特定组织使用的工具。受此影响的组织分属多个行业，从政府、媒体、能源、交通、物流一直到技术服务供应商。这个数据集包含：

• 被盗凭证
• 借助被盗凭证有可能会被入侵的系统
• 已经部署的webshell URL
• 后门工具
• 后门工具的C2 服务器组件
• 执行DNS劫持的脚本
• 能够识别特定个人运维者的文件
• OilRig操作系统截图

我们会对每个类型的数据组展开分析，而不是那些包含有所谓OilRig运营者详细信息的文件。这些运营者会采用我们之前观察到的OilRig惯常使用的方法、技术以及流程（tactics, techniques, and procedures，TTPs）。鉴于缺少对相关领域的可视化，我们尚且无法判断这些带有运营者个人信息的文件是否准确，但我们也没有理由怀疑这些资料就不正确。

通过对不同工具的追踪，我们在这些转储数据中发现了一些比较有意思的组件，那就是OilRig的这些威胁攻击者会使用内部称号。参考下图，内部称号以及我们追踪这些工具时所用的关键词。

结论

总之，这些泄漏的数据为我们提供了难得的非同一般的视角，可以让我们看清攻击者行为背后的真相。尽管我们可以确定数据集里面提供的后门和webshell程序与之前对OilRig工具的研究结果是一脉相承的，但总体来说我们无法确定整个数据集的来源，无法确认也不能否认这些数据没有以某种方式被复制过。这些数据有很大可能来自于告密者，但好像只有某个第三方才能获取这些数据。如果将这些数据看做一个整体的话，被锁定的对象以及TTP与我们过去对OilRig所采取的行动是一致的。假设这些数据准确无误，这就表明 OilRig的覆盖已经达到全球范围，而大众一般都认为OilRig只在中东地区肆虐。 有可能受到OilRig波及的地区和行业的差异。这表明只要是企业，不管它属于哪个区域和行业，都需要对攻击者拥有态势感知能力，对他们的所作所为要有所了解，并随时准备着应对攻击。