ESET 研究人员分析了 OilRig APT 组织的两项活动:Outer Space (2021) 和 Juicy Mix (2022)。 这两项网络间谍活动均专门针对以色列组织,这符合该组织对中东的关注,并使用相同的策略:OilRig 首先入侵一个合法网站用作 C&C 服务器,然后使用 VBS droppers 传递 C# /.NET 后门给受害者,同时还部署了各种主要用于目标系统上的数据泄露的攻击后工具。
在他们的外太空活动中,OilRig 使用了一个简单的、以前未记录的 C#/.NET 后门(我们将其命名为 Solar),以及一个新的下载程序 SampleCheck5000(或 SC5k),该程序使用 Microsoft Office Exchange Web 服务 API 进行 C&C 通信。 在 Juicy Mix 活动中,威胁行为者对 Solar 进行了改进,创建了 Mango 后门,该后门拥有额外的功能和混淆方法。 除了检测恶意工具集之外,我们还向以色列 CERT 通报了受感染的网站。
这篇博文的要点:
- ESET 观察到了 2021 年(外太空)和 2022 年(Juicy Mix)发生的两次 OilRig 活动。
- 这些运营商专门针对以色列组织,并破坏合法的以色列网站以用于其命令与控制通信。
- 他们在每个活动中都使用了一个新的、以前未记录的 C#/.NET 第一阶段后门:Solar in Outer Space,然后是其后继者 Mango in Juicy Mix。
- 这两个后门都是由 VBS droppers 部署的,大概是通过鱼叉式网络钓鱼电子邮件传播的。
- 这两个活动中都部署了各种攻陷后工具,特别是使用 Microsoft Office Exchange Web 服务 API 进行 C&C 通信的 SC5k 下载程序,以及从 Windows 凭据管理器窃取浏览器数据和凭据的多个工具。
OilRig,也称为 APT34、Lyceum 或 Siamesekitten,是一个网络间谍组织,至少自 2014 年以来一直活跃,并且 人们普遍认为 总部设在伊朗。 该组织的目标客户是中东政府和各种垂直行业,包括化学、能源、金融和电信。 OilRig 开展了 DNSpionage 活动 2018 和 2019,其目标是黎巴嫩和阿拉伯联合酋长国的受害者。 2019 年和 2020 年,OilRig 持续发起攻击 硬通行证 该活动利用 LinkedIn 来针对中东能源和政府部门的受害者。 2021 年,OilRig 更新了其 丹宝 后门并开始部署 鲨鱼, 米兰和 Marlin 后门,在 T3 2021 期 ESET 威胁报告。
在这篇博文中,我们提供了 Solar 和 Mango 后门、用于传送 Mango 的 VBS dropper 以及每个活动中部署的攻击后工具的技术分析。
归因
允许我们将外太空活动连接到 OilRig 的初始链接是使用与在 出海活动。 我们观察到 Solar 后门在目标系统上部署了与 Out to Sea 中完全相同的 MKG 样本,以及其他两个变体。
除了工具和目标上的重叠之外,我们还发现 Solar 后门和 Out to Sea 中使用的后门之间有许多相似之处,主要与上传和下载有关:Solar 和 Shark(另一个 OilRig 后门)都使用具有简单上传和下载方案的 URI与C&C服务器通信,“d”表示下载,“u”表示上传; 此外,下载器 SC5k 与其他 OilRig 后门(即 ALMA、Shark、DanBot 和 Milan)一样使用上传和下载子目录。 这些发现进一步证实了外太空背后的罪魁祸首确实是OilRig。
至于 Juicy Mix 活动与 OilRig 的联系,除了针对以色列组织(这是该间谍组织的典型特征)外,该活动中使用的后门 Mango 与 Solar 之间还存在代码相似之处。 此外,这两个后门都是由 VBS droppers 使用相同的字符串混淆技术部署的。 Juicy Mix 中使用的妥协后工具的选择也反映了之前的 OilRig 活动。
外太空战役概述
Outer Space 因其功能名称和任务中使用基于天文学的命名方案而得名,它是 2021 年的 OilRig 活动。在这次活动中,该组织入侵了以色列的一个人力资源站点,随后将其用作其之前的 C&C 服务器。未记录的 C#/.NET 后门、Solar。 Solar 是一个简单的后门,具有从磁盘读取和写入以及收集信息等基本功能。
然后,该小组通过 Solar 部署了一个新的下载器 SC5k,它使用 Office Exchange Web Services API 下载其他工具以供执行,如图所示 参考_Ref142655526 h 数字 1
。 为了从受害者系统中窃取浏览器数据,OilRig 使用了名为 MKG 的 Chrome 数据转储程序。
Juicy Mix 活动概述
2022 年,OilRig 发起了另一场针对以色列组织的活动,这次使用了更新的工具集。 我们将该活动命名为 Juicy Mix,因为它使用了新的 OilRig 后门 Mango(基于其内部程序集名称及其文件名, 芒果.exe)。 在这次活动中,威胁行为者入侵了一个合法的以色列就业门户网站,用于 C&C 通信。 随后,该组织的恶意工具被部署针对同样位于以色列的一家医疗保健组织。
Mango 第一阶段后门是 Solar 的后门,也是用 C#/.NET 编写的,具有显着的变化,包括渗透功能、使用本机 API 以及添加检测规避代码。
除了 Mango 之外,我们还检测到两个以前未记录的浏览器数据转储程序,用于从 Chrome 和 Edge 浏览器窃取 cookie、浏览历史记录和凭据,以及一个 Windows Credential Manager 窃取程序,所有这些我们都归因于 OilRig。 这些工具全部用于与 Mango 相同的目标,以及 2021 年和 2022 年其他受感染的以色列组织。 参考_Ref125475515 h 数字 2
概述了 Juicy Mix 活动中如何使用各种组件。
技术分析
在本节中,我们对 Solar 和 Mango 后门以及 SC5k 下载器以及这些活动中部署到目标系统的其他工具进行技术分析。
VBS 滴管
为了在目标系统上建立立足点,这两个活动都使用了 Visual Basic Script (VBS) 植入程序,这些植入程序很可能通过鱼叉式网络钓鱼电子邮件进行传播。 我们下面的分析重点是用于删除 Mango 的 VBS 脚本(SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); 请注意,Solar 的滴管非常相似。
该植入程序的目的是提供嵌入式 Mango 后门,安排持久性任务,并向 C&C 服务器注册妥协。 嵌入的后门存储为一系列 Base64 子字符串,这些子字符串被连接并进行 Base64 解码。 如图所示 参考_Ref125477632 h 数字 3
,该脚本还使用了简单的字符串反混淆技术,其中使用算术运算和 染色体 功能。
最重要的是,Mango 的 VBS dropper 添加了另一种类型的字符串混淆和代码来设置持久性并向 C&C 服务器注册。 如图所示 参考_Ref125479004 h * 合并格式 数字 4
,为了对某些字符串进行反混淆,脚本会替换集合中的任何字符 #*+-_)(}{@$%^& 0,然后将字符串分成三位数,然后使用以下命令将其转换为 ASCII 字符 染色体
功能。 例如,字符串 116110101109117+99111$68+77{79$68}46-50108109120115}77 翻译成 Msxml2.DOM文档.
一旦后门嵌入到系统中,植入程序就会继续创建一个计划任务,每 14 分钟执行一次 Mango(或 Solar,在另一个版本中)。 最后,该脚本通过 POST 请求发送受感染计算机的 Base64 编码名称,以向其 C&C 服务器注册后门。
太阳能后门
Solar 是 OilRig 外太空活动中使用的后门。 该后门具有基本功能,可用于下载和执行文件以及自动泄露暂存文件。
我们根据 OilRig 使用的文件名选择 Solar 这个名称, 太阳能程序。 这是一个合适的名称,因为后门使用天文学命名方案来命名整个二进制文件中使用的函数名称和任务(水星, 金星, 三月, 地球及 木星).
Solar 通过执行中所示的步骤开始执行 参考_Ref98146919 h * 合并格式 数字 5
.
后门创建两个任务, 地球
和 金星,在内存中运行。 这两个任务都没有停止功能,因此它们将无限期地运行。 地球
计划每 30 秒运行一次并且 金星
设置为每 40 秒运行一次。
地球 是首要任务,负责 Solar 的大部分功能。 它使用该功能与C&C服务器进行通信 水星到太阳,它将基本系统和恶意软件版本信息发送到C&C服务器,然后处理服务器的响应。 地球 向C&C服务器发送以下信息:
- 字符串 (@); 整个字符串被加密。
- 字符串 1.0.0.0,加密(可能是版本号)。
- 字符串 30000,加密(可能是预定的运行时间 地球
加密和解密在名为的函数中实现 木星E
和 木星D, 分别。 他们都调用一个名为的函数 木星X,它实现了一个 XOR 循环,如下所示 参考_Ref98146962 h 数字 6
.
密钥源自硬编码的全局字符串变量, 6sEj7*0B7#7和一个 教廷大使:在本例中,是一个长度为 2-24 个字符的随机十六进制字符串。 在 XOR 加密之后,应用标准的 Base64 编码。
OilRig 在部署 Solar 之前的某个时刻破坏了一家以色列人力资源公司的 Web 服务器,该服务器被用作 C&C 服务器:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
在附加到 URI 之前,加密随机数被加密,并且初始查询字符串的值, rt, 设定为 d 在这里,可能是“下载”。
最后一步 水星到太阳
功能是处理来自C&C服务器的响应。 它通过检索响应的子字符串来实现这一点,该子字符串在字符之间找到 QQ@ 和 @kk。 该响应是一串由星号分隔的指令(*) 被处理成数组。 地球
然后执行后门命令,其中包括从服务器下载额外的有效负载、列出受害者系统上的文件以及运行特定的可执行文件。
然后使用该函数对命令输出进行 gzip 压缩 海王星
并使用相同的加密密钥和新的随机数进行加密。 然后将结果上传到C&C服务器,因此:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
机器指南 新的随机数用以下内容加密 木星E
函数,这里的值 rt 被设置为 u,可能用于“上传”。
金星另一个计划任务用于自动数据泄露。 这个小任务从目录(也称为 金星) 到 C&C 服务器。 这些文件可能是由其他一些尚未识别的 OilRig 工具丢弃到这里的。 上传文件后,任务会将其从磁盘中删除。
芒果后门
为了开展 Juicy Mix 活动,OilRig 从 Solar 后门转向了 Mango。 它具有与 Solar 类似的工作流程和重叠功能,但仍然有一些显着的变化:
- 使用 TLS 进行 C&C 通信。
- 使用本机 API(而不是 .NET API)来执行文件和 shell 命令。
- 尽管没有被积极使用,但还是引入了检测规避代码。
- 支持自动渗漏(金星
- 对日志模式的支持已被删除,并且符号名称已被混淆。
与 Solar 以天文学为主题的命名方案相反,Mango 混淆了其符号名称,如下所示 参考_Ref142592880 h 数字 7
.
除了符号名称混淆之外,Mango还使用了字符串堆叠的方法(如图所示) 参考_Ref142592892 h 数字 8
参考_Ref141802299 h
)来混淆字符串,这使得简单检测方法的使用变得复杂。
与 Solar 类似,Mango 后门首先创建一个内存中任务,计划每 32 秒无限期运行一次。 该任务与C&C服务器通信并执行后门命令,类似于Solar的 地球
任务。 虽然太阳能也创造了 金星,一项自动渗透任务,该功能在 Mango 中已被新的后门命令取代。
在主任务中,Mango首先生成受害者标识符, ,用于 C&C 通信。 ID 计算为 MD5 哈希值 ,格式化为十六进制字符串。
为了请求后门命令,Mango 然后发送字符串 d@ @ | 到C&C服务器 http://www.darush.co[.]il/ads.asp – 一个合法的以色列就业门户网站,可能在此次活动之前就受到 OilRig 的破坏。 我们向以色列国家计算机紧急响应小组 (CERT) 通报了此次泄露事件。
请求体构造如下:
- 使用加密密钥对要传输的数据进行 XOR 加密 Q&4g,然后进行base64编码。
- 根据该字母表生成 3-14 个字符的伪随机字符串(如代码中所示): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- 加密的数据被插入到生成的字符串中的伪随机位置,包含在 [@ 和 @] 分隔符。
为了与其 C&C 服务器进行通信,Mango 使用 TLS(传输层安全)协议,该协议用于提供额外的加密层.
同样,从C&C服务器接收到的后门命令经过XOR加密、base64编码,然后封装在 [@ 和 @] 在 HTTP 响应正文中。 命令本身是 纳米碳纳米管
(在这种情况下不采取任何操作),或由多个参数组成的字符串
@, 详见 参考_Ref125491491 h 表 1
,其中列出了 Mango 的后门命令。 注意 表中未列出,但用于对 C&C 服务器的响应。
表 1. Mango 后门命令列表
精氨酸 |
精氨酸 |
精氨酸 |
采取的行动 |
返回值 |
|
1 或空字符串 |
+sp |
无 |
使用本机执行指定的文件/shell 命令(带有可选参数) CreateProcess的 API 导入通过 导入。 如果参数包含 [S],它被替换为 C:WindowsSystem32. |
命令输出。 |
|
+nu |
无 |
返回恶意软件版本字符串和 C&C URL。 |
|; 在这种情况下: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
无 |
枚举指定目录(或当前工作目录)的内容。 |
目录 对于每个子目录:
对于每个文件: 文件 目录 文件 |
||
+DN |
无 |
通过新的 HTTP POST 请求将文件内容上传到 C&C 服务器,格式为: 你@ @ | @ @2@. |
之一: · 文件[ ] 已上传至服务器。 · 文件未找到! · 文件路径为空! |
||
2 |
Base64 编码的数据 |
文件名 |
将指定的数据转储到工作目录中的文件中。 |
文件下载到路径[ ] |
每个后门命令都在一个新线程中处理,然后将它们的返回值进行 Base64 编码并与其他元数据组合。 最后,使用与上述相同的协议和加密方法将该字符串发送到 C&C 服务器。
未使用的检测规避技术
有趣的是,我们发现了一个未使用的 检测规避技术 芒果内。 负责执行从 C&C 服务器下载的文件和命令的函数采用可选的第二个参数——进程 ID。 如果设置,Mango 将使用 更新ProcThread属性
API 设置 PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) 指定进程的属性值: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000),如图所示 参考_Ref125480118 h 数字 9
.
该技术的目标是阻止端点安全解决方案在此过程中通过 DLL 加载其用户模式代码挂钩。 虽然我们分析的示例中未使用该参数,但可以在未来版本中激活它。
版本 1.1.1
与 Juicy Mix 活动无关,我们在 2023 年 1 月发现了新版本的 Mango 后门(SHA-XNUMX: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A),由多个用户以该名称上传到 VirusTotal 烛台.exe。 此示例中的内部版本从 1.0.0 更改为 1.1.1,但唯一显着的变化是使用了不同的 C&C 服务器, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
除了这个版本之外,我们还发现了一个 Microsoft Word 文档(SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB)带有会释放后门的恶意宏。 参考_Ref143162004 h 数字 10
显示虚假警告消息,诱使用户启用文档的宏,以及随后显示的诱饵内容,同时恶意代码在后台运行。
图 10. 带有恶意宏的 Microsoft Word 文档,该宏会释放 Mango v1.1.1
后妥协工具
在本节中,我们将回顾 OilRig 的 Outer Space 和 Juicy Mix 活动中使用的一系列妥协后工具,这些工具旨在下载和执行额外的有效负载,并从受损系统中窃取数据。
SampleCheck5000 (SC5k) 下载器
SampleCheck5000(或 SC5k)是一个下载程序,用于下载和执行其他 OilRig 工具,值得注意的是使用 Microsoft Office Exchange Web 服务 API 进行 C&C 通信:攻击者在此电子邮件帐户中创建草稿消息并在其中隐藏后门命令。 随后,下载程序登录到同一帐户,并解析草稿以检索要执行的命令和有效负载。
SC5k 使用预定义值(Microsoft Exchange URL、电子邮件地址和密码)登录远程 Exchange 服务器,但它也支持使用当前工作目录中名为 的配置文件覆盖这些值的选项 设置键。 我们根据该工具在外太空活动中使用的电子邮件地址之一选择了名称 SampleCheck5000。
一旦 SC5k 登录到远程 Exchange 服务器,它就会检索该服务器中的所有电子邮件。 草稿箱
目录,按最新排序,仅保留带有附件的草稿。 然后,它会遍历带有附件的每条草稿消息,查找包含以下内容的 JSON 附件: “数据” 在身体里。 它从键中提取值 data 在 JSON 文件中,base64 解码并解密该值,并调用 CMD.EXE 执行生成的命令行字符串。 然后 SC5k 保存输出 CMD.EXE
执行到局部变量。
作为循环的下一步,下载程序通过在 Exchange 服务器上创建新电子邮件并将其保存为草稿(不发送)来向 OilRig 操作员报告结果,如下所示 参考号_Ref98147102
h * 合并格式 数字 11
。 类似的技术用于从本地暂存文件夹中提取文件。 作为循环的最后一步,SC5k 还将命令输出以加密和压缩的格式记录在磁盘上。
浏览器数据转储器
OilRig 运营商的特点是在其攻击后活动中使用浏览器数据转储程序。 我们在 Juicy Mix 活动中与 Mango 后门一起部署的攻击后工具中发现了两个新的浏览器数据窃取程序。 他们将被盗的浏览器数据转储到 %TEMP% 目录到名为 更新
和 更新
(因此我们将它们命名为:CDumper 和 EDumper)。
这两个工具都是 C#/.NET 浏览器数据窃取程序,可从 Chrome (CDumper) 和 Edge (EDumper) 浏览器收集 cookie、浏览历史记录和凭据。 我们将分析重点放在 CDumper 上,因为除了一些常量之外,这两个窃取程序实际上是相同的。
执行时,CDumper 会创建安装了 Google Chrome 的用户列表。 执行时,窃取者会连接到 Chrome SQLite Cookies, 历史进程
和 登录数据 下的数据库 %APPDATA%LocalGoogleChrome用户数据,并使用 SQL 查询收集浏览器数据,包括访问的 URL 和保存的登录信息。
然后对 cookie 值进行解密,并将所有收集到的信息添加到名为的日志文件中 C:用户AppDataLocalTempCupdate,以明文形式。 此功能在 CDumper 函数中实现,名为 饼干抓取
(见 参考_Ref126168131 h 数字 12
), 历史抓取, 和 密码抓取。 请注意,CDumper 中没有实现渗透机制,但 Mango 可以通过后门命令渗透选定的文件。
在外太空和早期 出海 在该活动中,OilRig 使用了名为 MKG 的 C/C++ Chrome 数据转储程序。 与 CDumper 和 EDumper 一样,MKG 也能够从浏览器窃取用户名和密码、浏览历史记录和 cookie。 此 Chrome 数据转储程序通常部署在以下文件位置(第一个位置最常见):
- %USERS%publicprogramsvmwaredir MKC程序
- %USERS%PublicM64.exe
Windows 凭据管理器窃取程序
除了浏览器数据转储工具之外,OilRig 还在 Juicy Mix 活动中使用了 Windows Credential Manager 窃取程序。 该工具从 Windows Credential Manager 中窃取凭据,并与 CDumper 和 EDumper 类似,将它们存储在 %TEMP% 目录 – 这次进入一个名为 更新
(因此得名 IDumper)。 与 CDumper 和 EDumper 不同,IDumper 是作为 PowerShell 脚本实现的。
与浏览器转储工具一样,OilRig 从 Windows 凭据管理器收集凭据的情况并不少见。 此前,OilRig 的操作员曾被观察到使用 VALUEVAULT,这是一种 公开的, Go 编译的凭据盗窃工具(请参阅 2019年硬通行证活动 的网络 2020活动),出于同样的目的。
结论
OilRig 不断创新并创建具有类似后门功能的新植入程序,同时寻找在远程系统上执行命令的新方法。 该组织改进了 Outer Space 活动中的 C#/.NET Solar 后门,为 Juicy Mix 活动创建了一个名为 Mango 的新后门。 该组织部署了一组自定义的泄露后工具,用于从主要浏览器和 Windows 凭据管理器收集凭据、cookie 和浏览历史记录。 尽管有这些创新,OilRig 仍继续依赖既定方法来获取用户数据。
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
SHA-1 |
文件名 |
ESET 检测名称 |
课程描述 |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
我的简历.doc |
VBA/OilRig.C |
包含恶意宏删除 Mango 的文档。 |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/特洛伊木马Dropper.Agent.PCC |
VBS 滴管。 |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
太阳能程序 |
MSIL/OilRig.E |
太阳能后门。 |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
芒果.exe |
MSIL/OilRig.E |
芒果后门(v1.0.0)。 |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
烛台.exe |
MSIL/OilRig.E |
芒果后门(v1.1.1)。 |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
边缘更新程序 |
MSIL/PSW.Agent.SXJ |
边缘数据转储器。 |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
执行程序 |
MSIL/PSW.Agent.SXJ |
Chrome 数据转储器。 |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Windows 凭据管理器转储程序。 |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
MKC程序 |
Win64/PSW.Agent.AW |
MKG – Chrome 数据转储器。 |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
执行程序 |
Win64/PSW.Agent.AW |
MKG – Chrome 数据转储器。 |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
执行程序 |
Win64/PSW.Agent.AW |
MKG – Chrome 数据转储器。 |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k 下载器(32 位版本)。 |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k 下载器(64 位版本)。 |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k 下载器(64 位版本)。 |
商业网络
IP |
域名 |
托管服务商 |
初见 |
更多信息 |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
侯爵网 |
2022-07-29 |
无 |
MITRE ATT&CK 技术
该表是使用 13版 MITRE ATT&CK 框架。
战术 |
ID |
名称 |
课程描述 |
资源开发 |
妥协基础设施:服务器 |
在 Outer Space 和 Juicy Mix 活动中,OilRig 已经破坏了合法网站,以部署恶意工具并进行 C&C 通信。 |
|
开发能力:恶意软件 |
OilRig 开发了定制后门(Solar 和 Mango)、下载器 (SC5k) 和一套用于其操作的凭据盗窃工具。 |
||
阶段能力:上传恶意软件 |
OilRig 已将恶意组件上传到其 C&C 服务器,并将预留文件和命令存储在 草稿箱 用于 SC365k 下载和执行的 Office 5 帐户的电子邮件目录。 |
||
舞台功能:上传工具 |
OilRig 已将恶意工具上传到其 C&C 服务器,并将预留文件存储在 草稿箱 用于 SC365k 下载和执行的 Office 5 帐户的电子邮件目录。 |
||
初始访问 |
网络钓鱼:鱼叉式钓鱼附件 |
OilRig 可能通过附有 VBS 植入程序的网络钓鱼电子邮件分发其 Outer Space 和 Juicy Mix 活动。 |
|
执行 |
计划任务/作业:计划任务 |
OilRig 的 IDumper、EDumper 和 CDumper 工具使用名为 IE, 编辑, 和 铜 在其他用户的上下文中执行自己。 Solar 和 Mango 在计时器上使用 C#/.NET 任务来迭代执行其主要功能。 |
|
命令和脚本解释器:PowerShell |
OilRig 的 IDumper 工具使用 PowerShell 执行。 |
||
命令和脚本解释器:Windows 命令外壳 |
OilRig 的 Solar、SC5k、IDumper、EDumper 和 CDumper 使用 CMD.EXE 在系统上执行任务。 |
||
命令和脚本解释器:Visual Basic |
OilRig 使用恶意 VBScript 来传递并保留其 Solar 和 Mango 后门。 |
||
原生API |
OilRig 的 Mango 后门使用 CreateProcess的 用于执行的 Windows API。 |
||
坚持 |
计划任务/作业:计划任务 |
OilRig 的 VBS dropper 安排一个名为 提醒任务 为 Mango 后门建立持久性。 |
|
防御规避 |
伪装:匹配合法名称或位置 |
OilRig 的恶意软件使用合法或无害的文件名来伪装自己,以躲避防御者和安全软件的攻击。 |
|
混淆文件或信息:软件打包 |
OilRig 已使用 SAPIEN 脚本打包器 和 SmartAssembly混淆器 混淆其 IDumper 工具。 |
||
混淆文件或信息:嵌入式有效载荷 |
OilRig 的 VBS 植入程序以一系列 Base64 子字符串的形式嵌入了恶意负载。 |
||
伪装:伪装任务或服务 |
为了显得合法,Mango 的 VBS dropper 安排了一个具有描述的任务 在特定时间启动记事本. |
||
指示器移除:清晰的持久性 |
OilRig 的攻击后工具会在特定时间段后删除其计划任务。 |
||
去混淆/解码文件或信息 |
OilRig 使用多种混淆方法来保护其字符串和嵌入的有效负载。 |
||
颠覆信任控制 |
SC5k 使用 Office 365 作为下载站点,Office XNUMX 通常是受信任的第三方,但经常被防御者忽视。 |
||
削弱防御 |
OilRig 的 Mango 后门具有(尚未)未使用的功能,可以阻止端点安全解决方案在特定进程中加载其用户模式代码。 |
||
凭证访问 |
来自密码存储的凭据:来自 Web 浏览器的凭据 |
OilRig 的自定义工具 MKG、CDumper 和 EDumper 可以从 Chrome 和 Edge 浏览器获取凭据、cookie 和浏览历史记录。 |
|
来自密码存储的凭据:Windows 凭据管理器 |
OilRig 的自定义凭据转储工具 IDumper 可以从 Windows 凭据管理器窃取凭据。 |
||
药物发现 |
系统信息发现 |
Mango 获取受感染的计算机名称。 |
|
文件和目录发现 |
Mango 有一个命令可以枚举指定目录的内容。 |
||
系统所有者/用户发现 |
Mango 获取受害者的用户名。 |
||
帐户发现:本地帐户 |
OilRig 的 EDumper、CDumper 和 IDumper 工具可以枚举受感染主机上的所有用户帐户。 |
||
浏览器信息发现 |
MKG 转储 Chrome 历史记录和书签。 |
||
指挥和控制 |
应用层协议:Web 协议 |
Mango 在 C&C 通信中使用 HTTP。 |
|
入口工具传输 |
Mango 能够从 C&C 服务器下载其他文件以供后续执行。 |
||
数据混淆 |
Solar 和 SC5k 使用简单的 XOR 加密方法以及 gzip 压缩来混淆静态和传输中的数据。 |
||
Web 服务:双向通信 |
SC5k 使用 Office 365 从 Office XNUMX 下载文件和向其上传文件 草稿箱 合法电子邮件帐户中的目录。 |
||
数据编码:标准编码 |
Solar、Mango 和 MKG 在将数据发送到 C&C 服务器之前对数据进行 base64 解码。 |
||
加密通道:对称密码学 |
Mango 使用 XOR 密码与密钥 Q&4g 对 C&C 通信中的数据进行加密。 |
||
加密通道:非对称加密 |
Mango 使用 TLS 进行 C&C 通信。 |
||
渗出 |
通过 C2 通道进行渗透 |
Mango、Solar 和 SC5k 使用其 C&C 通道进行渗透。 |
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Able
- 关于
- 以上
- 账号管理
- 账户
- 操作
- 要积极。
- 积极地
- 活动
- 演员
- 添加
- 增加
- 额外
- 另外
- 地址
- 地址
- 添加
- 后
- 之后
- 驳
- 经纪人
- 针对
- 所有类型
- 允许
- 新华社
- 沿
- 靠
- 字母
- 还
- 其中
- an
- 分析
- 分析
- 和
- 另一个
- 任何
- API
- APIs
- 出现
- 出现
- 应用的
- APT
- 阿拉伯
- Arab Emirates
- 档案
- 保健
- 参数
- 排列
- AS
- 组装
- 组装
- 天文学
- At
- 攻击
- 自动化
- 自动
- 后门
- 后门程序
- 背景
- 基于
- 基本包
- BE
- 很
- before
- 开始
- 背后
- 作为
- 如下。
- 除了
- 之间
- 阻止
- 身体
- 书签
- 都
- 浏览器
- 浏览器
- 浏览
- 建
- 商业
- 但是
- by
- 呼叫
- 被称为
- 呼叫
- 营销活动
- 活动
- CAN
- 能力
- 能力
- 进行
- 案件
- 一定
- 更改
- 变
- 更改
- 渠道
- 通道
- 特点
- 字符
- 化学
- 选择
- 选择
- 铬系列
- 暗号
- 清除
- 码
- 收集
- 收藏
- COM的
- 结合
- 相当常见
- 常用
- 通信
- 沟通
- 通信
- 公司的
- 组件
- 妥协
- 妥协
- 一台
- 配置
- 确认
- 分享链接
- 所连接
- CONTACT
- 包含
- 内容
- 上下文
- 持续
- 继续
- 转换
- 曲奇饼
- 可以
- 创建信息图
- 创建
- 创造
- 创建
- 凭据
- 资历
- 电流
- 习俗
- data
- 数据库
- 解码
- 捍卫者
- 交付
- 部署
- 部署
- 部署
- 部署
- 派生
- 描述
- 描述
- 尽管
- 详细
- 检测
- 检测
- 发达
- 不同
- 发现
- 发现
- 显示
- 分布
- 分歧
- 文件
- 不
- 下载
- 下载
- 草案
- 下降
- 下降
- 删除
- 滴
- 倾倒
- 每
- 此前
- 东部
- 东
- 边缘
- 或
- 邮箱地址
- 电子邮件
- 嵌入式
- 酋长国
- 就业
- enable
- 加密
- 加密
- 端点
- 端点安全
- 能源
- 诱人
- 间谍
- 建立
- 成熟
- 逃税
- 所有的
- 例子
- 交换
- 只
- 执行
- 执行
- 执行
- 执行
- 执行
- 渗出
- 提取物
- 假
- 文件
- 档
- 终于
- 金融
- 寻找
- 发现
- (名字)
- 配件
- 流
- 专注焦点
- 重点
- 以下
- 如下
- 针对
- 格式
- 发现
- 骨架
- 止
- 从2021
- 功能
- 功能
- 功能
- 功能
- 进一步
- 未来
- 搜集
- 通常
- 产生
- 产生
- 全球
- 目标
- 谷歌
- Google Chrome
- 政府
- 各国政府
- 团队
- 组的
- 手柄
- 哈希
- 有
- 医疗保健
- 于是
- 相关信息
- HEX
- 隐藏
- 历史
- 钩
- 主持人
- 创新中心
- HTML
- HTTP
- HTTPS
- 人
- 人力资源
- ID
- 相同
- 识别码
- if
- 图片
- 实施
- 器物
- 改善
- in
- 包括
- 包含
- 的确
- info
- 信息
- 基础设施
- 初始
- 创新
- 创新
- 咨询内容
- 安装
- 代替
- 说明
- 房源搜索
- 内部
- 成
- 介绍
- 伊朗
- 以色列
- IT
- 它的
- 本身
- 工作
- JSON
- 七月
- 只是
- 保持
- 键
- 已知
- (姓氏)
- 推出
- 层
- 最少
- 黎巴嫩
- 左
- 合法
- 喜欢
- 容易
- Line
- 友情链接
- 清单
- 已发布
- 清单
- 书单
- 装载
- 本地
- 圖書分館的位置
- 地点
- 日志
- 长
- 寻找
- 机
- 宏
- 宏
- 主要
- 主要
- 恶意软件
- 经理
- 马林
- 假面舞会
- 匹配
- MD5
- 机制
- 内存
- 提到
- 的话
- 条未读消息
- 元数据
- 方法
- 方法
- 微软
- 中间
- 中东
- 米兰
- 毫秒
- 分钟
- 混合
- 时尚
- 此外
- 最先进的
- 大多
- 移动
- 多
- 姓名
- 命名
- 亦即
- 名称
- 命名
- National
- 本地人
- 净
- 虽然
- 全新
- 下页
- NIST
- 没有
- 显着
- 特别是
- 数
- 数字
- 获得
- 获得
- 发生
- of
- 优惠精选
- 办公
- 经常
- on
- 一
- 仅由
- 运营
- 运营商
- 附加选项
- or
- 秩序
- 组织
- 组织
- 其他名称
- 我们的
- 输出
- 外层空间
- 产量
- 超过
- 覆盖
- 简介
- 页
- 参数
- 参数
- 党
- 密码
- 密码
- 径
- 执行
- 期间
- 坚持
- 钓鱼
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- 点
- 点
- 门户网站
- 位置
- 或者
- 帖子
- PowerShell的
- 几乎
- 前任
- 以前
- 先前
- 小学
- 私立
- 大概
- 过程
- 处理
- 过程
- 产品
- 保护
- 协议
- 提供
- 出版
- 目的
- 查询
- 随机
- 宁
- 阅读
- 收到
- 最近
- 寄存器
- 有关
- 依靠
- 远程
- 切除
- 去除
- 更换
- 报告
- 业务报告
- 请求
- 研究
- 研究人员
- 资源
- 分别
- 响应
- 提供品牌战略规划
- REST的
- 导致
- 成果
- 回报
- 检讨
- 操纵
- 运行
- 运行
- s
- 同
- 保存
- 保存
- 保存
- 锯
- 始你
- 预定
- 方案
- 方案
- 脚本
- SEA
- 其次
- 秒
- 部分
- 行业
- 保安
- 看到
- 看到
- 选
- 选择
- 发送
- 发送
- 发送
- 系列
- 服务
- 服务器
- 服务器
- 服务
- 特色服务
- 集
- 几个
- 鲨鱼
- 壳
- 如图
- 作品
- 类似
- 相似之处
- 简易
- 自
- 网站
- 小
- So
- 软件
- 太阳的
- 解决方案
- 一些
- 太空
- 具体的
- 指定
- 传播
- 堆叠
- 阶段
- 分期
- 标准
- 启动
- 抢断
- 步
- 步骤
- 被盗
- Stop 停止
- 存储
- 商店
- 串
- 随后
- 后来
- 这样
- 支持
- 交换的
- 符号
- 系统
- 产品
- 表
- 拍摄
- 需要
- 目标
- 针对
- 瞄准
- 目标
- 任务
- 任务
- 文案
- 技术分析
- 电信
- 比
- 这
- 其
- 他们
- 他们自己
- 然后
- 那里。
- 博曼
- 他们
- 事
- 第三
- Free Introduction
- 威胁
- 威胁者
- 威胁报告
- 始终
- 从而
- 阻挠
- 领带
- 次
- 标题
- 至
- 工具
- 工具
- 最佳
- 过境
- 运输
- 信任
- 信任
- 二
- 类型
- 普遍
- 一般
- 罕见
- 下
- 联合的
- 阿联酋
- 阿拉伯联合酋长国
- 不像
- 未使用
- 更新
- 上传
- 上传
- 上
- 网址
- us
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- v1
- 折扣值
- 价值观
- 变量
- 各种
- 各个
- 版本
- 版本信息
- 版本
- 垂直
- 非常
- 通过
- 受害者
- 受害者
- 参观
- 参观
- 警告
- 是
- 方法
- we
- 卷筒纸
- Web服务器
- Web服务
- 您的网站
- 网站
- 井
- 为
- 这
- 而
- 全
- 宽度
- 将
- 窗户
- 中
- Word
- 工作流程
- 加工
- 写作
- 书面
- 含
- 但
- 和风网