一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

申博_新闻事件 申博 187次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

Webshells

Webshell用于与受沾染效劳器交互。走漏数据中包罗了三个webshell,分别为HyperShell、HighShell和Minion,Minion很多是HighShell的一个变体,在代码、文件名和功用上都有堆叠。HyperShell和HighShell则是TwoFace的变体,个中HyperShell与TwoFace的加载器相干,HighShell与TwoFace的payload相干,这点我们在2017年7月也有纪录。除OilRig运用的Webshell外,走漏数据中另有一个Webshell布置列表。如图8所示,列出了凌驾100个Webshell的链接,覆盖了四大洲26个国度的87个构造。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图8.受影响构造的Webshell的地理位置

Hypershell

HyperShell(SHA256:e483eee77fcc5ef11d5bf33a4179312753b62ec9a247dd14528cc797e7632d99)与的TwoFace加载器的3DES变体(我们也叫它TwoFace++)有关,我们曾在2017年7月报导过。

我们曾用强迫手艺来提取TwoFace加载器嵌入式payload,但一样的要领在TwoFace ++加载器上行欠亨。

TwoFace加载器样本须要密钥来解密嵌入的webshell,密钥是经由历程简朴的算术运算符(大多是“+”或“ – ”)和webshell中的盐字符串举行修正的,以是运用简朴的算术运算符就能够解密,逆运算来强迫提取密钥,进而提取嵌入式webshell。

而TwoFace ++加载器则运用3DES暗码和进击者供应的字符串的SHA256哈希并用作密钥,因而我们没法提取嵌入式webshell。然则,转储数据中的供应了HyperShell的主要信息。与很多TwoFace加载器样本一样,HyperShell样本在HTML符号<pre>和</pre>中包罗一个字符串,若是未供应暗码,和/或TwoFace ++加载顺序没法提取嵌入的webshell,则会在浏览器中显现该字符串。HyperShell样本中的pre标签是:

<pre><%= Server.HtmlEncode(“NxKK<TjWN^lv-$*UZ|Z-H;cGL(O>7a”) %></pre>

图9显现了HyperShell在浏览器中“pre”标签内容。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图9.HyperShell在<pre>标签内显现暗码

我们以为,pre标签中的字符串恰是进击者供应的暗码,webshell将其作为密钥来加密嵌入的payload,这一点可经由历程以下历程来考证:

· 暗码上附加一个充任盐的字符串

· 猎取包罗暗码和盐的连系字符串的SHA1哈希值

· 对SHA1哈希举行Base64编码

· 将Base64编码后的哈希与硬编码的base64字符串举行对照

· 若是婚配,则对入站要求举行身份考证

· 天生暗码字符串的SHA256哈希值

· Base64对SHA256哈希举行编码,并运用前24个字符作为密钥

· 运用24个字符的密钥和3DES暗码来解密嵌入的webshell

如今让我们看看进击者供应的暗码怎样与TwoFace ++加载器样本中的值一同运用。样本中,进击者运用的暗码为“NxKK<TjWN^lv-$*UZ|Z-H;cGL(O>7a”,并附加了硬编码盐字符串“aqB2nU65TgFoEfdVqiAddBQLInc9”,二者连系的字符串为“NxKK<TjWN^lv-$*UZ|Z-H;cGL(O>7aaqB2nU65TgFoEfdVqiAddBQLInc9”,SHA1哈希为“9d3ff106fbc3508b8453c7d6f285543d0b9c2721”,base64编码后为“nT/xBvvDUIuEU8fW8oVUPQucJyE=”。而样本中base64硬编码后的暗码是“NT / xBvvDUIuEU8fW8oVUPQucJyE =”,这也就能够证实我们上面的看法。

经由身份考证后,TwoFace ++加载顺序运用暗码来解密嵌入式webshell。要运用暗码作为密钥举行3DES解密,TwoFace ++会天生暗码“NxKK<TjWN^lv-$*UZ|Z-H;cGL(O>7a ”的SHA256,哈希为“11f66b55f3d24303621e5ef9565b02a576cc58bc5f8789cae96c3d400064b90e”,接着对哈希举行base64编码,发生的字符串为“EfZrVfPSQwNiHl75VlsCpXbMWLxfh4nK6Ww9QABkuQ4 =”,个中前24个字符被用作3DES密钥,并解密webshell (SHA256: d2b835b102117e327fdc4905ead24d45f46e82dd5ae525e90cca0a685d307619) 。此webshell好像也是HighShell(版本v5.0)的变种。

我们将HighShell的v5.0版本与TwoFace的payload(SHA256:54c8bfa0be1d1419bf0770d49e937b284b52df212df19551576f73653a7d061f)举行了对照。如图10所示,基本是一致的,但HighShell有两个不一样的处所,右上角的版本号“v5.0”和左下角用于显现毛病音讯和敕令效果的三个小框。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图10.HighShell v5.0和TwoFace payload之间差别性

接着我们对两个webshell的代码举行了剖析。这两个webshell大部分代码雷同,差别在于变量和函数称号上略有分歧。最显着的区别是HighShell v5.0 webshell包罗一个盐值“di2zag7wZHTK9YR0NGq”,它应用于身份考证的暗码。图11左边显现了TwoFace的payload(SHA256:54c8bfa0be1d1419bf0770d49e937b284b52df212df19551576f73653a7d061f),右边则是HighShell v5.0(SHA256:d2b835b102117e327fdc4905ead24d45f46e82dd5ae525e90cca0a685d307619),而一样的盐在左边的TwoFace代码中就没有。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图11. HighShell v5.0和TwoFace payload之间的对照

我们以为TwoFace的 payload是HighShell v5.0 webshell的前身,后者是OilRig在其全部运营历程当中建立的。

HighShell

转储数据还包罗一个名为HighShell的webshell,它由HyperShell植入,如上一节所述。转储数据中包罗了很多分歧的HighShell样本,我们已肯定了最少三个分歧的版本,如表4所示。赓续增添的版本数目注解OilRig在延续赓续开辟HighShell。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

表4.能肯定的三个HighShell webshell版本

但HighShell的版本不是及时更新的。比方在前一节中从HyperShell中提取的HighShell webshell(SHA256:d2b835b102117e327fdc4905ead24d45f46e82dd5ae525e90cca0a685d307619)显现版本号为“v5.0”,这显着分歧于图12中所见的文件名为error4.aspx的“v5.0”HighShell。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图12.带有新配色计划和资源治理器选项卡的HighShell v5.0

图12显现的是第二个HighShell v5.0样本,其用户界面运用了分歧的配色计划,但大部分功用与从HyperShell中提取的其他v5.0样本雷同。 这个HighShell v5.0变体的风趣的转变是引入了一个包罗主选项卡和资源治理器选项卡的表格界面。主选项卡含有与TwoFace payload和其他v5.0 HighShell样本雷同的功用。explorer选项卡(如图13所示)能让进击者观察受沾染效劳器的文件体系。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图13. HighShell v5.0资源治理器选项卡

转储数据中的HighShell v7.1变体包罗了之前版本中类似的功用,也有表格要领,但进一步拆分了选项卡的主要功用,拆成了 “Command”, “Explorer”, “Upload”, “Download”, “Sql Server”和“Change Time”。图14显现的是HighShell v7.1。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图14. HighShell v7.1

转储数据中还包罗了一个名为ShellLocal-v8.8.5.rar的存档,个中包罗另外一个HighShell变体。 存档称号注解HighShell变体版本为v8.8.5,然则用户界面显现是版本8.6.2,如图15所示.看上去OilRig从新构建了这个webshell,前端用户界面经由历程AJAX Web要求与后端剧本交互。 除体系构造的转变以外,此版本的HighShell界面上也做了个革新。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

buhtrap后门和勒索软件通过广告平台进行分发

过去几个月,研究人员发现有黑客组织使用Buhtrap和RTM两个著名后门作为勒索软件和加密货币窃取器来攻击位于俄罗斯的企业。攻击活动主要是通过Yandex.Direct发布恶意广告来重定向潜在目标到提供伪装为文档模板的恶意下载的网站。 注:Yandex是俄罗斯的最大的互联网搜索引擎,Yandex.Direct是其在线广告网络。 研究人员发现Buhtrap后门的源码已经在网络上泄露了,而RTM的代码还没有被泄露。本文描述攻击者如何滥用Yandex.Direct和GitHub来分发恶意软件。 传播机制和受害者 将不同payload联系在一起的攻击者传播位于两个不同GitHub仓库的恶意文件的方式。一般只有一个GitHub仓库的恶意文件是可以下载的,但是具体是哪一个会频繁变化。通过GitHub仓库的修改历史,可以发现恶意软件可以在任意给定时间内传播。受害者被引诱来下载恶意文件的一种方式是通过网站blanki-shabloni24[.]ru,如图1所示。 图1 –  blanki-shabloni24[.]ru的加载页 网站的设计和所有的恶意文件名都非常清除:都是表单、模板和合同。伪造的软件名翻译过来是“表格、模板和合同样本集2018”。因为Buhtrap和RTM木马在过去就攻击过审计机构,因为攻击采用这样的策略也就不足为奇了。但受害者是如何被重定向到该

图15.HighShell v8.6.2

而HighShell8.6.2版本除之前版本的主要功用外,还增加了一些新功用,好比几个可实行模块、网络下载器功用和特务搜检功用。

模块

HighShell 8.6.2包罗webshell附带的几个模块的功用。这些模块是PE可实行文件,进一步扩大了webshell的功用,如表5所示。webshell运用7za模块从explorer选项卡处存档文件,而nbtscan模块许可webshell扫描网络以便体系构建可与之交互的体系的IP列表。我们没法肯定webshell怎样运用长途实行模块,由于webshell实际上好像并没有运用它。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

表5. HighShell v8.6.2附带的模块

特务搜检

特务搜检功用显如今webshell的右上角,是一个带有倒计时器的模块。计时器从300最先并每秒递减,注解webshell每五分钟就实行一次特务搜检功用。我们不知道特务搜检功用的确实目的。我们推想该功用的目的是,若是该webshell已被第三方检测和修正,则关照进击者制止运用该webshell。

这多是为今后预备的功用,由于特务搜检功用起首读取HighShell前端的.aspx文件(在本例中为HighShellLocal.aspx),然后天生HighShell前端的SHA256哈希值,并将其与f35e566e28be5b3257670be6e125eb90814b9cb27df997090cea0b7a22fbd75c的硬编码SHA256举行对照,以肯定是不是已修正了webshell。若是哈希不婚配,则webshell将显现带有特务图标的赤色框,如图15所示,或许若是婚配则显现带故意形图标的绿色框。一切已知样本都显现带有特务图标的赤色框,注解HighShell的开辟人员在开辟历程当中没有更新此功用,或许样本已以某种体式格局举行了修正。

网络下载器

Network Downloader功用许可进击者从长途受损体系上疾速上传用户文件。要运用此功用,进击者须在webshell的“Target Computer”中供应信息,好比网络治理员用户名和暗码,并在“Select Computer”下拉列表中增加的长途体系的IP地点列表。在实行网络下载之前,webshell会搜检效劳器的存储卷,以肯定它是不是具有凌驾30 GB的可用空间。若是效劳器的可用空间少于30 GB,则webshell将不实行运动,这透露表现webshell的开辟人员须要从受害者网络下载大批数据。webshell将遍历IP列表并为每一个IP实行一系列敕令,经由历程运用以下敕令连接到长途体系:

net use [IP address] /user:[domain admin username] [domain admin password] 2>&1

运用net use连接到长途体系后,webshell将运转以下敕令以猎取用户文件夹列表:

dir /b [IP address]\c$\Users 2>&1

经由历程用户文件夹列表,webshell将遍历用户列表并罗列以下文件夹中的一切文件:

[IP address]\c$\Users\[username]\Desktop
 
[IP address]\c$\Users\[username]\Documents
 
[IP address]\c$\Users\[username]\Downloads

Network Downloader功用将网络这些文件夹中的一切文件,并运用7-Zip紧缩和存档文件。 webshell将当地存档存档到C:\ Users \ Public \ Libraries \ Recorded \ Files文件夹中的效劳器,每一个文件夹都具有以下构造的文件名:

[IP address]_c$_Users_[username]__[Desktop-Documents-Downloads]_[year]-[month]-[day]-[hours]-[minutes]-[seconds].7z

进击者能够会运用此功用疾速搜检网络上用户建立的新文件。

Minion

Minion好像是另外一个与HighShell相干的webshell,由于它包罗类似的功用,主要的代码也有堆叠。要运用Minion,进击者须在运用webshell之前供应admin用户名和暗码举行身份考证。要举行身份考证,字符串“O%tG7Hz57kvWk35$D*)s$1l$pUpLnBw)apHR!xYZWZu7X#^w7$mCArmQMAa&sRBG”会作为盐值加到暗码上,接着在天生字符串的SHA256哈希值,对其base64编码后,与硬编码字符串“m6m8CCWa/u820mie8bX3HKIx1+WQkB+lbmniyXWKB+8=”举行对照。暗码和盐字符串必需天生“9ba9bc08259afeef36d2689ef1b5f71ca231d7e590901fa56e69e2c9758a07ef ”的SHA256哈希值能力准确举行身份考证。这与HyperShell中举行身份考证/解密的历程完整雷同。

Minion与HighShell 8.6.2异常类似,也包罗用于扩大webshell功用的模块。表6显现的是Minion附带的模块,个中有三个在HighShell和Minion中都有,包罗Hobocopy、一个端口扫描模块,和名为Tardigrade的截图东西。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

表6. Minion webshell附带的模块

DNS挟制剧本

2018年11月,思科Talos宣布了一份名为DNSpionage的进击运动研讨申报,申报中形貌了一种特地挟制政府机构DNS条目的行为,目的是将访问者重定向到多是歹意的体系。FireEye和Crowdstrike都对DNS挟制事宜举行了评价,并将行为追溯到2017年1月,但没法对其归因到特定的构造,只是说目的半径集合在中东,也能够在中东以外。

在转储数据中,包罗一个名为webmask的东西,该东西好像是一系列特地用于实行DNS挟制的剧本。guide.txt是一个申明文档,展现了进击者怎样举行DNS挟制进击,如图16所示。webmask看起来与FireEye研讨结论一致,比方经由历程署理纵贯运用ICAP,和运用certbot建立Let的加密SSL证书。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图16. guide.txt中的申明,诠释怎样实行DNS挟制进击

guide.txt还供应了一个进击者的IP(185.162.235 [.] 106)。搜检显现该IP与名为NovinVPS的伊朗托管效劳供应商相干联。IP的自治体系称号显现分派由Serverius Holding B.V.掌握,该自治体系称号我们之前在OilRig相干运动中也见到过。搜检185.162.235 [.] 0/24的C类IP块显现了我们之前已肯定的OilRig组用于C2效劳器的两个其他IP:185.162.235 [.] 29和185.162.235 [.] 121,它们对应的域名为office365-management [.] com和msoffice-cdn [.] com。 Office365-management [.] com是于2017年10月被肯定为用于供应ISMInjector后门的OilRig C2效劳器。

2018年2月,在另外一同流传OopsIE后门的运动中,经由历程WHOIS注册组件、同享SSL证书和同享的C类IP块我们也能够推断该起运动为统一构造所为。图17显现了与DNS挟制相干文件与OilRig已知基本架构之间的干系。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图17. DNS挟制文件和OilRig基本架构之间的干系

虽然我们没法肯定地说,OilRig构造完整实行了DNSpionage操纵,但依据供应的数据,它们之间照样有较强水平的干系。

屏幕截图

转储数据中包罗了几张屏幕截图,包罗Glimpse面板的长途桌面(RDP)会话,名为Scarecrow的C2面板的Web浏览器会话,进入VPS治理面板的Web浏览器会话,和OilRig效劳器举行破坏性进击的证据。

图18中的屏幕截图好像是一个未知后门的C2面板。独一供应的称号是Scarecrow,它不是我们之前观察到的或与OilRig相干的称号。效劳器托管在142.234.157 [.] 21上,好像由LeaseWeb托管。若是我们假定文件名与效劳器面板的及时快照一致,那末自2019年3月29日以来多个体系都被主动泄密。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图18.走漏中供应的屏幕截图显现了Scarecrow面板

图19显现了一个名为Berbid Server的伊朗假造主机供应商的治理面板。 没有显现其他基本构造详细信息。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图19.Berbid Server的治理面板

屏幕截图显现了DeltaHost上VPS帐户的治理面板,个中有四个分歧的假造效劳器,如图20所示。个中一个假造效劳器托管在IP地点193.111.152 [.] 13而且已运转了194天 (红框)。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图20. DeltaHost帐户治理面板的屏幕截图

上图申明,该效劳器能够最少自2018年9月16日起运转。2018年9月24日,我们观察到OilRig进击目的中有人中计,从以下URL下载Zip存档:

hxxp://193.111.152[.]13/[redacted]-ITsoftwareUpdate.zip

这个Zip存档包罗一个名为[redacted] -ITsoftwareUpdate.exe(SHA256:5f42deb792d8d6f347c58ddbf634a673b3e870ed9977fdd88760e38088cd7336)的文件,它是我们在2018年9月宣布的博客中详细形貌的OopsIE木马的变种。这注解截图所反映情况属实。另外,面板中列出的其他两个IP,185.161.209 [.] 57和185.161.210 [.] 25同属185.161.208 [.] 0/22的领域,与DNSpionage运动IP 185.161.211 [.] 72相干联。这个玄妙的差别透露表现,虽然没法百分百肯定OilRig就是DNSpionage的背地整体,但也八九不离十。

图21是Glimpse的C2效劳器面板的屏幕截图。此截图是经由历程位于屏幕顶部的选项卡指导的RDP会话。若是我们再次假定文件名中指导的时候的准确性,那末已远凌驾71天没有受损体系检入了。

一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)

图21.与运转Glimpse C2的效劳器的RDP会话

结论

这份走漏数据为OilRig幕后行为供应了稀有且不平常的视角,虽然我们以后没法考证全部数据集的泉源,也没法确认数据是不是实在,但经由历程各种对照,为真的能够性照样对照大的。这份数据能够来自OilRig构造内部,也有能够泉源于第三方构造。这份数据还显现,OilRig在将来能够不只将运动限定在中东区域,另有朝环球局限舒展的趋向。岂论任何区域、行业,我们都应始终保持对进击者及其运动的态势感知,并做好抵抗任何进击的预备。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明一份泉源未知的数据,揭秘了OilRig构造的悉数信息(下)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址