某疑似針對中東地區的APT攻擊事件分析
前言
在疑似APT攻擊事件的跟蹤過程中,遇到過很多難題。多數情況是,這次,它不是你的顯在對手,我們不會獲得足夠多的線索,卻偏偏想要滿足好奇的慾望,經典的人生三問,用來描述你的對方再恰當不過。我在《阿善師的告白》中聽到一句話:凡走過必留下痕迹。這裡,我將整理一起疑似APT攻擊的事件的探討,期待真相一步步浮出水面。
北京時間2018年12月12日,我們看到野外出現一份名為
該樣本文檔顯示的內容是一份海事衛星設備(Inmarsat IsatPhone)清單。樣本觸發漏洞後,連接遠程伺服器獲取下髮指令。
靜態分析
樣本內容列舉了多個模塊、價格和數量信息。海事衛星電話常用於船舶與船舶之間、船舶與陸地之間的通信,包括語言通話、數據傳輸和文件傳真。
樣本內嵌Flash文件,Flash文件中以明文的形式嵌入惡意指令。
後門程序將自己設置持久化之後立即連接C2接收下一階段指令執行。
整理樣本中存在的潛在信息:
Path: C:UsersUserAppDataLocalTempExcel8.0ShockwaveFlashObjects.exdPath: C:Program FilesMicrosoft OfficeOffice16EXCEL.EXEPath: c:CVE-2018-15982_PoC.swfURL: http://190.2.145.149/putty2.exePE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC+8)XLS-Saved: 12/10/2018 5:13 PM (UTC+8)
溯源追蹤
1. 根據C2追溯
根據C2伺服器IP地址190.2.145.149,小編並未關聯到其它惡意樣本。在獲取到樣本的第一時間,該IP地址上還存在另一個可執行文件:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),歸屬遠程登錄工具。
根據whois信息顯示,IP地址歸屬一家荷蘭的ISP服務提供商。
該ISP服務提供商WorldStream公司主頁顯示其提供可靠的託管服務。
從IP的歷史記錄中,小編找到一條非常重要的線索。teamkelvinsecteam於2018年11月25日在RaidForums論壇於 「Leaks」、「Databases」板塊公布了該IP存在允許列目錄。該用戶截圖上傳了詳細的文件列表並備註文件包含:可疑的惡意軟體、Email備份和pst文件等等。
IP在7月份搭建了Web集成環境,從9月開始存在壓縮文件陸續上傳,直至11月22日,文件匯總約逾百G。許多文件直指阿聯酋國家石油公司(ENOC)的職員郵件備份。
在這份
從緩存中小編截取了兩份評論,包含teamkelvinsecteam留下自己的聯繫郵箱:vipsuscriptionkelvinsecurityv1@protonmail.com。
2. 根據代碼特徵追溯
從獲得
樣本伊始,小編很快提取樣本關鍵特徵和歷史樣本進行比對。很遺憾的是,小編對歷史樣本進行比對,對新增樣本進行監控,以及多次使用Intezer進行分析,均未能匹配到關聯樣本。ps.圖中最下方,使用Intezer獲得與
唯一的關聯樣本,經過小編確認,是某位安全研究人員上傳的
的內存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。
小編對
他們是誰
由於小編在訪問IP的時候,只能查看到XAMPP的初始配置頁面。首先需要懷疑文件列表的真實性。此處小編並不打算對「Leaks」和「Databases」主題做過多探討,但是從teamkelvinsecteam的行為記錄來看,這些郵件備份文件是存在的。
1. 受害者信息
從公開信息確認其中一名疑似受害者Fardin Malahi的職務為阿聯酋國家石油公司人力資源部主管。
2. 攻擊者身份
老實說,到目前為止關於攻擊者身份或者隸屬組織小編並沒有指向性的結論。我們看看安全社區的討論:威脅情報分析師Drunk Binary認為
根據德國Nextron Systems公司的APT檢測產品THOR檢測顯示
後門程序歸屬APT34、APT33組織。從它的規則編寫時間來看,除非有內部未公開披露的詳實證據命中目標,否者小編認為可以參考,暫不可信。
安全報告呢?在近期ClearSky公司發布的一份安全報告中,約存在2-3頁對該事件的詳盡描述。在報告中ClearSky認為存在跡象表明,Oilrig組織最有可能在9月或10月滲透進入ENOC網路並部署了橫向移動工具。
在其公開報告中,整個關於這一事件的描述都被塗抹覆蓋。
回到樣本本身,關於該組織為什麼要在深度滲透ENOC網路之後,還要重啟如此重要的網路基礎設施,利用最新的Flash漏洞疑似發起魚叉攻擊。是他們最想要的沒有得手還是更換攻擊目標?當然可以猜想的故事有很多。但是確定的是,本次利用
尾聲
還有更多資料嗎?在小編思考等待這些日子中似乎就這麼多了。有的資料由於最開始沒有備份下來以至在此漏掉許多。至於新的樣本,近日野外出現一份和
其實無論彈計算器的是誰,我們總會知道,在一個半月之後,原始樣本並沒有被忘記。根據對話和安全報告,大廠早已關注這次事件。
從內容顯示的相關行業和泄漏文件直指目標,或多或少我們可以總結出攻擊組織的興趣點在於中東地區能源行業。其攻擊手法似乎包含網路滲透和魚叉釣魚,具備反追查意識,使用新款木馬後門,具有一定技術實力背景和多人員分工協作構成犯罪組織特徵。
從公開歷史網路攻擊拓撲圖看,中東地區事務牽涉眾多。唯願早日結束紛爭。
IOCs
MD5
A51A86A773B7134C2D43BAFC2931E6A4
94715ED2A09A88BE026E8B2BA7C0F9B0
24F7E3422B1DB69289D47F1025DB1598
954CA41B7367191180A44C7221BB462A
28145CE332718337AF59ACA2469784A9
94296CCDD83161D7FB87645591B3D3AF
IP
190.2.145.149
附錄
http://190.2.145.149/abdul.khaliq.rar
http://190.2.145.149/ahmed.salem.rar
http://190.2.145.149/ammary@enoc.com.pst
http://190.2.145.149/anishkam@enoc.com.pst
http://190.2.145.149/anvar.helal.rar
http://190.2.145.149/anwar.hussain.rar
http://190.2.145.149/badir@enoc.com.pst
http://190.2.145.149/cstoradmin.rar
http://190.2.145.149/deebu@enoc.com.pst.zip
http://190.2.145.149/faiz.muhammad.rar
http://190.2.145.149/fardin.malahi@enoc.com.pst
http://190.2.145.149/fqahtani@enoc.com.zip
http://190.2.145.149/frederik@enoc.com.pst.zip
http://190.2.145.149/frits@enoc.com.pst.zip
http://190.2.145.149/husamal@enoc.com.pst
http://190.2.145.149/jeevananthan.rar
http://190.2.145.149/mark.burling@eppcouae.com.rar
http://190.2.145.149/marwan.mohd@enoc.com.pst
http://190.2.145.149/matthew.ranson.rar
http://190.2.145.149/sgaladari.pst
http://190.2.145.149/sum.chee.rar
http://190.2.145.149/T.rar
http://190.2.145.149/taleb@enoc.com.pst
*
本文作者:小河西村安全研究所,轉載請註明來自FreeBuf.COM
TAG:FreeBuf |