Waterbug特务构造不停扩大其武器库,还挟制了Oilrig黑客构造的基础设施 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Waterbug特务构造不停扩大其武器库,还挟制了Oilrig黑客构造的基础设施

申博_新闻事件 申博 79次浏览 未收录 0个评论

Waterbug特务构造(别名Turla),是迄今为止最为高等的要挟构造之一,与俄罗斯政府的关系密切(该构造成员均说俄语)。自2007年以来,Waterbug一向处于活泼状况,并制作了很多轰动一时的大事宜,比方2008年的Buckshot Yankee事宜中进击了美国中心司令部。这些年被Waterbug问鼎的构造不计其数,包括乌克兰、欧盟列国政府以及列国大使馆、研讨和教诲构造以及制药、军工企业等。

近段时候,Waterbug仍在延续对政府和国际构造展开着行为,除了东西变得越多越全以外,另一个值得关注的处所是,他们在一场行为中挟制了Crambus(别名OilRig,APT34)特务构造的基础设施,可以意味着两个构造间存在的关联性。

三波进击

近来Waterbug的行为可以分为三波,对它们举行辨别的体式格局主假如依据东西集上的差别。个中一项行为中,有一个名为Neptun、之前从未见过(Backdoor.Whisperer)的新后门。Neptun装置在Microsoft Exchange效劳器上,用于被动侦听来自进击者的敕令,这类被动侦听功用使歹意软件更难以检测。Neptun还可以下载其他东西,上传被盗文件和实行shell敕令。此次行为时期的一次进击还用到了属于另一个名为Crambus)的特务构造的基础设施。

第二项行为则运用了Meterpreter,一个公然的后门,两个自定义加载器,另有两个自定义后门,一个名为photobased.dll,另一个则是长途历程调用(RPC)后门。Waterbug最少从2018年终开始运用Meterpreter,而且在此行为中运用了Meterpreter的修正版本,该版本经由编码并带有.wav的扩展名以掩饰其真正目的。

第三项行为运用的RPC后门与第二项行为中运用的有所差别,此后门顺序运用从大众可用的PowerShellRunner东西派生的代码来实行PowerShell剧本,而无需运用powershell.exe。此东西旨在绕过歹意PowerShell辨认检测。在实行之前,PowerShell剧本以base64编码存储在注册表中。如许做多是为了防备将它们写入文件体系。

Waterbug特务构造不停扩大其武器库,还挟制了Oilrig黑客构造的基础设施

图1. Waterbug构造在三波进击中运用的东西集

东西集

可以看出,Waterbug进化速率很快,近来的行为触及到对大批新东西的运用,包括自定义歹意软件,公然可用的黑客东西的修正版本以及正当的管理东西,还用到了PowerShell剧本和PsExec(一种用于在其他体系上实行历程的Microsoft Sysinternals东西)。

除了上面提到的东西以外,Waterbug还布置了:

· 一种新的自定义dropper,一般用于将Neptun作为效劳装置。

· 一个自定义黑客东西,它将方程式构造(Equation Group)泄漏的四个东西(EternalBlue,EternalRomance,DoublePulsar,SMBTouch)组合成一个可实行文件。

· 一个USB数据收集东西,用于搜检衔接的USB驱动器并盗取某些特定范例的文件,并将其加密为RAR文件,然后运用WebDAV上传到Box云端硬盘。

· 多个Visual Basic剧本,在初始感染后实行体系侦探,并将信息发送回Waterbug敕令和掌握效劳器。

· 多个PowerShell剧本,用于从Windows Credential Manager处实行体系侦探和凭据盗取的事情,然后将信息发送回C&C。

· 另有多个公然可用的东西,如IntelliAdmin用于实行RPC敕令,SScan和NBTScan用于收集侦探,PsExec用于实行和横向挪动,Mimikatz(Hacktool.Mimikatz)用于凭据偷窃,Certutil.exe用于下载和解码长途文件。

进击目的

除了以IT和教诲部门为目的以外,近来这三波Waterbug行为已对环球局限政府和国际构造造成了严重损坏。自2018年终以来,Waterbug已进击了10个差别国度的13个构造,包括:

· 拉美国度的外交部

· 中东国度外交部

· 欧洲国度的外交部

· 南亚国度内政部

· 中东国度的两个身份不明的政府构造

· 东南亚国度的一个身份不明的政府构造

· 位于另一个国度的某南亚国度的政府办公室

· 中东国度的信息和通讯手艺构造

· 两个欧洲国度的两个信息和通讯手艺构造

· 南亚国度的信息和通讯手艺构造

· 中东国度的跨国构造

· 南亚国度的教诲机构

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

TrendMicro研究人员检测到一个传播含有门罗币挖矿机和Perl后门组件的僵尸网络的URL。研究人员发现这与Outlaw黑客组织之前攻击活动中使用的方法一样。 研究人员在分析中发现攻击者使用了一个可执行的SSH后门,而且这些组件以服务的形式安装来为恶意软件提供驻留。基于Perl的后门组件可以启动DDoS攻击,允许犯罪分子通过提供DDoS即服务和加密货币挖矿机来利用僵尸网络获利。 但研究人员认为该攻击活动背后的攻击者可能在测试和开发过程,因为还有shell脚本组件在TAR文件中没有执行。 截至目前,研究人员监测到了来自中国的感染活动。 攻击方法 数据显示恶意软件通过SSH暴力破解攻击来获取系统的访问权限,并执行两个可能的命令文件。文件组件和方法与之前的分析是一直的,分析的样本中执行了.x15cache,bash脚本会下载恶意软件。 图 1.通过SSH暴力破解攻击机器 Shell脚本会下载、提取和执

挟制基础设施

在Waterbug近来的一同行为中,发生了一件风趣的事。此次行为是对中东的一个目的举行进击,Waterbug好像挟制了Crambus特务构造的基础设施并用它将歹意软件传送到受害者的收集。此次事宜将Crambus和Waterbug与差别的民族国度联系起来。虽然这两个构造可以已协作,但赛门铁克示意没有发明任何进一步证据能支撑这一点。Waterbug运用Crambus基础设施更像是一种歹意挟制,但奇怪的是,Waterbug还运用本身的基础设施对受害者收集上的其他盘算机举行损坏。

此次进击中,Mimikatz的定制版本从Crambus的基础设施下载到了受害者收集的盘算机上,下载历程是经由过程Powruner东西和Poison Frog掌握面板举行的。多方都曾以为此基础设施和Powruner东西与Crambus密不可分。近来在与Crambus有关的泄漏文件中也提到了这两点。

赛门铁克以为,此次突击中运用的Mimikatz变种是Waterbug独占的。它经由了大批修正,除了sekurlsa :: logonpasswords凭据盗取功用外,险些一切原始代码都删除了。Waterbug常常对公然的东西举行大批修正,而Crambus则不是。

Mimikatz的变种由一个自定义顺序举行封装,该封装顺序之前没有在别的歹意软件中见到过,Mimikatz的第二个定制变体和用于Neuron效劳(Trojan.Cadanif)的dropper中都用到了该封装器。它在dropper中的运用使我们得出结论,这类定制封装器是Waterbug独家运用的。别的,这个版本的Mimikatz是运用Visual Studio和大众可用的bzip2库编译的,并不是唯一,之前的其他Waterbug东西已运用过它。

除了触及Crambus基础设施的进击以外,这个Mimikatz样本仅被用于2017年针对英国教诲目的的另一次进击。当时,Mimikatz被一个已知的Waterbug东西所庖代。

在突击中东目的的案件中,Crambus是第一个侵入受害者收集的群体,最早的运动证据可以追溯到2017年11月。2018年1月11日,第一次涌现了Waterbug运动的证据,当时Waterbug关联东西(名为msfgi.exe的使命调理顺序)被植入到受害者收集上的盘算机上。第二天,即1月12日,前面提到的Mimikatz变种从一个已知的Crambus C&C效劳器下载到统一台盘算机上。受害者收集上的别的两台盘算机在1月12日被Waterbug东西攻下,但没有证据表明在这些进击中运用了Crambus基础设施。虽然个中一台盘算机之前曾被Crambus进击过,但另一台盘算机没有涌现Crambus入侵的迹象。

Waterbug特务构造不停扩大其武器库,还挟制了Oilrig黑客构造的基础设施

图2. Waterbug可以挟制了Crambus的C&C收集基础设施

Waterbug在2018年的大部分时候都在对受害者收集举行延续入侵。2018年9月5日,相似的Mimikatz变种被Waterbug的Neptun后门放到了收集上的另一台盘算机上。大约在统一时候,在受害者的收集上看到了其他Waterbug歹意软件,在与已知的Waterbug C&C效劳器举行通讯。

末了,在受害者的收集上涌现了一个名为IntelliAdmin的正当体系管理东西,使这个题目变得越发庞杂。尽人皆知,这个东西已被Crambus运用。然则,在本例中,IntelliAdmin被自定义的Waterbug后门(包括新辨认的Neptun后门)植入到了没有遭到Crambus入侵的盘算机上。

这一事宜留下了很多悬而未决的题目,主要与Waterbug运用Crambus基础设施的效果有关。有几种可以性:

1、伪旗行为:Waterbug确切有经由过程伪旗行为来疑惑观察职员的纪录。然则也有疑点,就是行为中也用到了可以追溯到Waterbug的东西,而且为何要运用Waterbug本身的基础设施与受害者收集上的其他机械举行通讯。

2、某种入侵手腕:Waterbug可以在损坏目的构造之前,发明Crambus已损坏了收集,就挟制了Crambus的基础设施来作为猎取接见权的手腕。赛门铁克并没有观察到最初的接入点,受害者收集上观察到的Waterbug运动与Crambus基础设施运用之间的时候距离较为严密,这表明Waterbug可以运用Crambus基础设施作为初始接入点。

3、该Mimikatz变种属于Crambus:Crambus基础设施下载的Mimikatz版本有多是由Crambus开辟的。然则,编译手艺与Waterbug的陈迹都与这一假定相悖。

4、乘隙骚动扰攘侵犯:Waterbug可以一开始并没有设计假旗行为,但在预备进击时发明了Crambus的入侵,借机举行进击,愿望骚动扰攘侵犯受害者或观察职员的头脑。依据近来泄漏的Crambus内部文件可知,其Poison Frog掌握面板很轻易遭到进击,这意味着Waterbug挟制Crambus的基础设施可以只是一个相对眇乎小哉行动。卡巴斯基的研讨职员曾在2017年的一份白皮书中讨论过,一个要挟构造经由过程另一个要挟构造的基础设施举行入侵的案例。

其他行为

在过去的一年里,Waterbug还发起了别的两场行为,每一场都有各自的东西。这些行为局限普遍,在欧洲、拉丁美洲和南亚都达到了目的。

在第一个行为中,Waterbug运用了两个版本的自定义加载器javavs.exe(64位)和javaw .exe(32位)来加载一个名为photobase .dll的自定义后门,并在受害者的盘算机上运转导出函数GetUpdate。后门将修正Windows Media Player的注册表以存储其C&C设置。它还重新设置Microsoft Sysinternals注册表以防备在运转PsExec东西时弹出窗口。后门具有下载和上载文件,实行shell敕令以及更新其设置的功用。

javaws.exe加载顺序还用于运转另一个名为tasklistw.exe的加载顺序。进击者运用它来解码和实即将Meterpreter下载到受感染盘算机的一系列歹意可实行文件。

进击者还装置了另一个后门,该后门经由过程定名管道cmd_pipe运转敕令shell。这两个后门都许可进击者实行种种敕令,从而完整掌握受害者的体系。Waterbug还运用了较老版本的PowerShell,多是为了防备日记纪录。

在第二次行为中,Waterbug运用了一个完整差别的后门,名为securlsa.chk。此后门可以经由过程RPC协定吸收敕令。其功用包括:

· 经由过程cmd.exe实行敕令,并将输出重定向到临时文件中

· 读取临时文件中包括的敕令输出

· 读或写恣意文件

此RPC后门还包括源自PowerShellRunner东西的源代码,该东西许可用户在不实行powershell.exe的情况下运转PowerShell剧本,因而用户可以绕过旨在辨认歹意PowerShell运用情况的检测。

虽然两个行为在初始阶段都触及差别的东西,但也有很多相似之处。二者的特点是运用自定义歹意软件和公然可用东西的组合。别的,在两个运动时期,Waterbug险些同时实行了多个payload,假如防御者发明并移除了个中一个后门,照样不是中缀进击者的接见。

Waterbug采取了几个步骤来防备被发明。它将Meterpreter定名为WAV文件范例,还运用GitHub作为入侵后下载东西的存储库。因为GitHub是一个广受信托的网站,它运用Certutil.exe从存储库下载文件,这是一种用于长途下载的应用顺序白名单绕过手艺。

在个中一个行为中,Waterbug运用USB盗取器扫描可挪动存储设备,以辨认和收集感兴趣的文件。然后它将被盗文件打包到受密码保护的RAR存档中。然后,歹意软件运用WebDAV将RAR存档上载到Box帐户。

悬而未决的题目

这是赛门铁克初次观察到一个进击构造(可以)挟制并运用了另一个构造的基础设施。然则,现在仍难以确定进击背地的效果。终究Waterbug只是抓住了此次进击的时机制作了杂沓,照样触及了更多的计谋思索,现在还不得而知。

Waterbug不停变化的东西集也展现了该构造高度的适应性,坚持领先于目的才削减被发明的风险,而频仍的设备更新和对假旗战术的偏好也使得这群人成为目的进击范畴中最具挑战性的敌手之一。

原文地点: https://www.4hou.com/info/news/18771.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Waterbug特务构造不停扩大其武器库,还挟制了Oilrig黑客构造的基础设施
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址