• 张靓颖晒短发照少女感爆棚 女星长短发造型大PK 2019-07-17
  • 优质金融资源“注”入云南 2019-07-17
  • 【中医文化】李时珍与王世贞的默然十载 2019-07-12
  • 从朝美的对话和双方表现的诚意来看,形势正向好的方向发展。这应了中国那句解铃还需系铃人的老话,只有当事国之间的直接对话才能真正解决问题,其它都是弯路。 2019-07-12
  • 百姓故事:摔跤吧!女孩 2019-07-08
  • “最接近王维的作品”将拍卖 它是王维的真迹吗? 2019-07-06
  • 在强国论坛和新浪微博上也就说了几句国产80后伟大的钢琴家,嚯!粉丝不干了,邮箱里塞满男性女性生殖器的骂声和愤慨声。其实,真没有诋毁的意思。比如,美国一家男性内衣 2019-07-06
  • 郭麒麟演绎少年成长记 释放青春力 2019-07-02
  • 四十多个赞,莫非真的有他们说的什么点钻机! 2019-07-02
  • 中国电信发布人工智能终端白皮书 2019-06-26
  • 昨夜涝洰河公园星光璀璨 首届尧都文化旅游节圆满闭幕 2019-06-24
  • 中国现在看谁脸色行使啦?哈~ 2019-06-24
  • 地面被硬化,地下被掏空,城中河流、湖泊有限,一旦遇到短时间内的强降雨,大多数城市将水漫金山。在可预见的将来,这个问题无解。 2019-06-16
  • 厦门出现不打烊的便民服务站 2019-05-30
  • 霍金骨灰安葬仪式举行 坟墓纪念碑上刻有黑洞图案 2019-05-30
  • Top
    湖北楚天福彩30选5 > 网络和信息安全 > 重磅推荐 > 正文

    Palo Alto Networks 派拓网络带你走进黑客组织OilRig

    OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,这之后,Unit 42长期持续监测、观察并追踪他们的行踪和变化。
    发布时间:2019-05-09 17:49        来源:赛迪网        作者:Palo Alto Networks(派拓网络)威胁情报团队Unit 42

    湖北楚天福彩30选5 www.dwmq.net 最新博文摘要如下:

    从一次数据泄露事件谈起

    【赛迪网讯】2019年3月中旬,一个未知账户出现在多个黑客论坛以及Twitter上面,账户Mr_L4nnist3r声称能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。

    其中,第一次声明包含了若干系统截屏,OilRig有可能会使用这些漏洞发起攻击。一段脚本,可被用作DNS劫持,一段密码可借助文件名Glimpse.rar对文档进行?;?,其自称包含了OilRig后门的C2服务器面板。之后很快,一个名为@dookhtegan的Twitter账户也站出来声明能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。

    这个账号使用了一张摄于2004年的著名图片,以抗议荷兰新提议的庇护法。我们尚不清楚作者使用这个图片而不是其他图片来表达抗议的原因。自从第一个账号创建以后,就一直在使用这种抽象的图片作为头像,这给我们分析谁是始作俑者增加了难度。

    OilRig_Twitter

    OilRig的前世今生

    OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,这之后,Unit 42长期持续监测、观察并追踪他们的行踪和变化。后来OilRig被安全行业的其他组织进行深度研究,同时被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不复杂,但在达成目标方面相当坚持,与其他以间谍为目的的活动相比有所不同。同时,OilRig更愿意基于现有攻击模式来发展攻击手段并采用最新技术来达成目标。

    经过长期研究,我们现在可以揭示出OilRig实施进攻的具体细节,他们使用何种工具,研发周期是怎样的,他们在将VirusTotal作为检测系统而使用的时候都能反映出以上问题。一般情况下我们都是站在受害者的角度来看待攻击事件,这决定了我们对攻击组件的认识有点狭隘。

    遭受OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。总体来讲,我们识别出将近有13000被盗凭证、100余个已部署的webshell后门工具,在遍布27个国家、97个组织、覆盖18个领域的大量遭受攻击的主机上安装了12个后门会话进程。

     

    数据转储内容包括多种类型数据,他们或者来自于侦测行动、初步攻击,也可能来自于OilRig运营者针对某特定组织使用的工具。受此影响的组织分属多个行业,从政府、媒体、能源、交通、物流一直到技术服务供应商。通常,转储数据中会包含以下信息:

    · 被盗凭证

    · 借助被盗凭证有可能会被入侵的系统

    · 已经部署的webshell URL

    · 后门工具

    · 后门工具的C2 服务器组件

    · 执行DNS劫持的脚本

    · 能够识别特定个人运维者的文件

    · OilRig操作系统截图

    我们会对每个类型的数据组展开分析,而不是那些包含有所谓OilRig运营者详细信息的文件。这些运营者会采用我们之前观察到的OilRig惯常使用的方法、技术以及流程(tactics, techniques, and procedures,TTPs)。鉴于缺少对相关领域的可视化,我们尚且无法判断这些带有运营者个人信息的文件是否准确,但我们也没有理由怀疑这些资料就不正确。

    通过对不同工具的追踪,我们在这些转储数据中发现了一些比较有意思的组件,那就是OilRig的这些威胁攻击者会使用内部称号。参考下图,内部称号以及我们追踪这些工具时所用的关键词。

    tututu

    如欲了解更多有关这些内部名称的信息,敬请点击以下链接浏览观看

    总之,数据转储为我们提供了难得的非同一般的视角,可以让我们看清攻击者行为背后的真相。尽管我们可以确定数据集里面提供的后门和webshell程序与之前对OilRig工具的研究结果是一脉相承的,但总体来说我们无法确定整个数据集的来源,无法确认也不能否认这些数据没有以某种方式被复制过。有很大可能数据转储来自于告密者,但好像只有某个第三方才能获取这些数据。如果将数据转储看做一个整体的话,被锁定的对象以及TTP与我们过去对OilRig所采取的行动是一致的。假设转储中的数据是准确无误的,这就表明OilRig的覆盖已经达到全球范围。

    有可能受到OilRig波及的地区和行业的差异,表明只要是企业,不管它属于哪个区域和行业,都需要对攻击者拥有态势感知能力,对他们的所作所为要有所了解,并随时准备着应对攻击。

    合作站点
    stat
  • 张靓颖晒短发照少女感爆棚 女星长短发造型大PK 2019-07-17
  • 优质金融资源“注”入云南 2019-07-17
  • 【中医文化】李时珍与王世贞的默然十载 2019-07-12
  • 从朝美的对话和双方表现的诚意来看,形势正向好的方向发展。这应了中国那句解铃还需系铃人的老话,只有当事国之间的直接对话才能真正解决问题,其它都是弯路。 2019-07-12
  • 百姓故事:摔跤吧!女孩 2019-07-08
  • “最接近王维的作品”将拍卖 它是王维的真迹吗? 2019-07-06
  • 在强国论坛和新浪微博上也就说了几句国产80后伟大的钢琴家,嚯!粉丝不干了,邮箱里塞满男性女性生殖器的骂声和愤慨声。其实,真没有诋毁的意思。比如,美国一家男性内衣 2019-07-06
  • 郭麒麟演绎少年成长记 释放青春力 2019-07-02
  • 四十多个赞,莫非真的有他们说的什么点钻机! 2019-07-02
  • 中国电信发布人工智能终端白皮书 2019-06-26
  • 昨夜涝洰河公园星光璀璨 首届尧都文化旅游节圆满闭幕 2019-06-24
  • 中国现在看谁脸色行使啦?哈~ 2019-06-24
  • 地面被硬化,地下被掏空,城中河流、湖泊有限,一旦遇到短时间内的强降雨,大多数城市将水漫金山。在可预见的将来,这个问题无解。 2019-06-16
  • 厦门出现不打烊的便民服务站 2019-05-30
  • 霍金骨灰安葬仪式举行 坟墓纪念碑上刻有黑洞图案 2019-05-30
  • 足彩半全场玩法规则 中国竞彩网app下载地址 022期平特一肖 安徽25选5最新开奖结果 一头一尾中特期期准 辽宁快乐12一定牛遗漏 阿飞六合图库大全 北京福利彩票官网pk十 竞彩足球现场直播 牌九四张牌绝技 7m即时篮球比分直播 七乐彩69期预测 11选5最大遗漏爱彩乐 中国福彩中心老时时彩 ag真人娱乐造假