從一次數據泄露事件談起

2019年3月中旬，一個未知賬戶出現在多個黑客論壇以及Twitter上面，賬戶Mr_L4nnist3r聲稱能夠通過黑客組織OilRig使用的內部工具和數據訪問數據轉儲。

其中，聲明包含了若干系統截屏，OilRig有可能會使用這些漏洞。一段腳本，可被用作DNS劫持，一段密碼可借助文件名Glimpse.rar對文檔進行保護，其自稱包含了OilRig后門的C2服務器面板。之后很快，一個名為@dookhtegan的Twitter賬戶也站出來聲明能夠通過黑客組織OilRig使用的內部工具和數據訪問數據轉儲。

這個賬號使用了一張攝于2004年的著名圖片，一位尋求庇護的伊朗移民邁赫迪o卡烏西將自己的嘴唇和眼睛縫合，以抗議荷蘭新提議的庇護法，并表示將其送回伊朗無異于羊入虎口。我們尚不清楚作者使用這個圖片而不是其他圖片來表達抗議的原因。自從賬號創建以后，就一直在使用這種抽象的圖片作為頭像，這給我們分析誰是始作俑者增加了難度。

OilRig的前世今生

OilRig組織于2016年被 Palo Alto Networks威脅情報小組 Unit 42發現，這之后，Unit 42長期持續監測、觀察并追蹤他們的行蹤和變化。后來OilRig被安全行業的其他組織進行深度研究，同時被冠以其他名字如"APT34"以及"Helix Kitten"。OilRig并不復雜，但在達成目標方面相當堅持，與其他以間諜為目的的活動相比有所不同。同時，OilRig更愿意基于現有模式來發展威脅手段并采用技術來達成目標。

經過長期研究，我們現在可以揭示出OilRig實施進攻的具體細節，他們使用何種工具，研發周期是怎樣的，他們在將VirusTotal作為檢測系統而使用的時候都能反映出以上問題。一般情況下我們都是站在受害者的角度來看待安全威脅事件，這決定了我們對組件的認識有點狹隘。

遭受OilRig安全威脅的組織機構甚多，覆蓋行業甚廣，從政府、媒體、能源、交通、物流一直到技術服務供應商。總體來講，我們識別出將近有13000被盜憑證、100余個已部署的webshell后門工具，在遍布27個國家(中國包含在內)、97個組織、覆蓋18個領域的大量遭受非法控制的主機上安裝了12個后門會話進程。

數據轉儲內容包括多種類型數據，他們或者來自于偵測行動，也可能來自于OilRig運營者針對某特定組織使用的工具。受此影響的組織分屬多個行業，從政府、媒體、能源、交通、物流一直到技術服務供應商。通常，轉儲數據中會包含以下信息：

被盜憑證

已經部署的webshell URL

后門工具

后門工具的C2 服務器組件

執行DNS劫持的腳本

能夠識別特定個人運維者的文件

OilRig操作系統截圖

我們會對每個類型的數據組展開分析，而不是那些包含有所謂OilRig運營者詳細信息的文件。這些運營者會采用我們之前觀察到的OilRig慣常使用的方法、技術以及流程(tactics, techniques, and procedures，TTPs)。鑒于缺少對相關領域的可視化，我們尚且無法判斷這些帶有運營者個人信息的文件是否準確，但我們也沒有理由懷疑這些資料就不正確。

通過對不同工具的追蹤，我們在這些轉儲數據中發現了一些比較有意思的組件，那就是OilRig的這些威脅者會使用內部稱號。參考下圖，內部稱號以及我們追蹤這些工具時所用的關鍵詞。

結論

總之，數據轉儲為我們提供了難得的非同一般的視角，可以讓我們看清黑客行為背后的真相。盡管我們可以確定數據集里面提供的后門和webshell程序與之前對OilRig工具的研究結果是一脈相承的，但總體來說我們無法確定整個數據集的來源，無法確認也不能否認這些數據沒有以某種方式被復制過。有很大可能數據轉儲來自于告密者，但好像只有某個第三方才能獲取這些數據。如果將數據轉儲看做一個整體的話，被鎖定的對象以及TTP與我們過去對OilRig所采取的行動是一致的。假設轉儲中的數據是準確無誤的，這就表明OilRig的覆蓋已經達到全球范圍，而大眾一般都認為OilRig只在中東地區肆虐。

有可能受到OilRig波及的地區和行業的差異，表明只要是企業，不管它屬于哪個區域和行業，都需要對黑客擁有態勢感知能力，對他們的所作所為要有所了解，并隨時準備著應對安全威脅。