最新博文摘要如下:

从一次数据泄露事件谈起
2019年3月中旬，一个未知账户呈此刻多个黑客论坛以及Twitter上面，账户Mr_L4nnist3r声称能够通过黑客组织OilRig使用的内部工具和数据访谒数据转储。
 
此中，第一次声明包罗了若关连统截屏，OilRig有可能会使用这些缝隙倡议打击。一段脚本，可被用作DNS劫持，一段暗码可借助文件名Glimpse.rar对文档进行掩护，其自称包罗了OilRig后门的C2处事器面板。之后很快，一个名为@dookhtegan的Twitter账户也站出来声明能够通过黑客组织OilRig使用的内部工具和数据访谒数据转储。
 
这个账号使用了一张摄于2004年的著名图片，一位寻求保护的伊朗移民迈赫迪•卡乌西将本身的嘴唇和眼睛缝合，以*荷兰新提议的保护法，并暗示将其送回伊朗无异于羊入虎口。我们尚不清楚作者使用这个图片而不是其他图片来表达*的原因。自从第一个账号创建以后，就一直在使用这种抽象的图片作为头像，这给我们分析谁是始作俑者增加了难度。

OilRig的前世此生
OilRig组织于2016年初度被 Palo Alto Networks威胁谍报小组 Unit 42发明，这之后，Unit 42恒久连续监测、不雅察看并追踪他们的行踪和变革。后来OilRig被安适行业的其他组织进行深度研究，同时被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不庞大，但在达成方针方面相当对峙，与其他以间谍为目的的勾当对比有所差别。同时，OilRig更愿意基于现有打击模式来成长打击手段并给与最新技术来达成方针。

颠末恒久研究，我们此刻可以揭示出OilRig实施进攻的具体细节，他们使用何种工具，研发周期是怎样的，他们在将VirusTotal作为检测系统而使用的时候都能反应出以上问题。一般情况下我们都是站在受害者的角度来对待打击事件，这决定了我们对打击组件的认识有点狭隘。

遭受OilRig打击的组织机构甚多，笼罩行业甚广，从当局、媒体、能源、交通、物流一直到技术处事提供商。总体来讲，我们识别出将近有13000被盗凭证、100余个已部署的webshell后门工具，在遍布27个国家（中国包罗在内）、97个组织、笼罩18个范围的大量遭受打击的主机上安置了12个后门会话进程。

  数据转储内容包孕多种类型数据，他们或者来自于侦测步履、初阶打击，也可能来自于OilRig运营者针对某特定组织使用的工具。受此影响的组织分属多个行业，从当局、媒体、能源、交通、物流一直到技术处事提供商。凡是，转储数据中会包罗以下信息：
 
•  被盗凭证

•  借助被盗凭证有可能会被入侵的系统

•  已经部署的webshell URL

•  后门工具

•  后门工具的C2 处事器组件

•  执行DNS劫持的脚本

•  能够识别特定小我私家运维者的文件

•  OilRig操纵系统截图
 
我们会对每个类型的数据组展开分析，而不是那些包罗有所谓OilRig运营者详细信息的文件。这些运营者会给与我们之前不雅察看到的OilRig惯常使用的要领、技术以及流程（tactics, techniques, and procedures，TTPs）。鉴于缺少对相关范围的可视化，我们尚且无法判断这些带有运营者小我私家信息的文件是否准确，但我们也没有理由怀疑这些资料就不正确。

通过对差别工具的追踪，我们在这些转储数据中发明了一些对照有意思的组件，那就是OilRig的这些威胁打击者会使用内部称呼。参考下图，内部称呼以及我们追踪这些工具时所用的关键词。

工具类型   内部名称   行业名称  
后门   Poison Frog   BONDUPDATER  
后门   Glimpse   Updated BONDUPDATER  
Webshell   HyperShell   TwoFace loader  
Webshell   HighShell   TwoFace payload  
Webshell   Minion   TwoFace payload variant  
DNS劫持工具   webmask   Related to DNSpionage