在2019年5月至6月期间,网络安全公司Palo Alto Networks旗下Unit42安全团队在一起针对科威特航运企业的黑客攻击行动中检测出了一种全新的新后门工具——Hisoka,被攻击者用来下载了多个自定义工具,以便实施后续的漏洞利用。
鉴于所有工具的名称都使用了日本动漫《全职猎人(Hunter x Hunter)》中人物的名字(如后门工具Sakabota、Hisoka、Netero和Killua),因此这起行动也被Unit42团队命名为“xHunt”。除上述后门工具外,被下载的工具还包括“Gon”和“EYE”,它们同样为攻击者提供了后门访问的能力。
xHunt行动概述
2019年5月19日,Unit42团队在一家科威特航运企业的系统上发现了一个名为“inetinfo.sys”的恶意二进制文件。分析表明,它是Hisoka后门工具的变种之一,在代码中注明为版本0.8。
在通过Hisoka访问受感染系统的两个小时里,攻击者部署了另外两个工具——Gon和EYE,文件名分别是Gon.sys和EYE.exe。
Gon允许攻击者远程扫描受感染系统的开放端口、上传及下载文件、截屏、查找网络上的其他系统、在受感染系统上运行命令,以及创建远程桌面协议(RDP)会话。值得注意的是,既可以用作命令行实用程序,也通过图形用户界面(GUI)调用,如图1所示:
图1. Gon的图形用户界面
当攻击者通过RDP登录到受感染系统时,EYE则会起到保护作用——如果合法用户登录,它将杀死由攻击者创建的所有进程并删除其他任何痕迹。
在2019年6月18日至30日期间,Unit42团队在另一家科威特航运企业的系统上发现了Hisoka的0.9版本,恶意二进制文件名为“netiso.sys”。
该文件通过服务器消息块(SMB)协议从内部IT服务台帐户传输到另一个系统上,并以相同的方式传输了一个名为“otc.dll”的文件。
otc.dll实际上是Killua后门工具,允许让攻击者使用DNS隧道通信,在受感染系统上运行C2命令。
Hisoka通过电子邮件与C2通信
Hisoka v0.8和v0.9均包含一个命令集,允许攻击者远程控制受感染的系统。此外,它们都能通过HTTP或DNS隧道与C2通信。不同的是,v0.9还增加了能够通过电子邮件与C2通信的功能。
v0.9新增的这项功能基于Exchange Web Services(EWS)协议,攻击者通过Exchange服务器上的合法帐户与Hisoka进行通信。由于通信是通过草稿箱来完成的,因此不会发送或接收任何电子邮件,进而也就不会被检测出异常。
图2. Hisoka v0.9利用电子邮件草稿箱进行通信
行动或许可追溯到2018年
在分析xHunt行动时,Unit42团队注意到Hisoka中的一些字符串与此前一种名为“Sakabota”的后门工具(于2018年7月被发现)非常相似。
也就是说,Sakabota很有可能就是Hisoka的前身,而这起行动很可能早在2018年就已经开始了。
Hisoka继承了Sakabota的大量代码,就连函数和变量名也都完全相同,如下图所示:
图3. Sakabota和Histoka的对比
除代码重叠外,字符串“Sakabota”也在Hisoka中出现了多次,如“Compatible with Sakabota v3.2(与Sakabota v3.2兼容)”。
图4. Hisoka中“与Sakabota兼容”的说明
此外,xHunt行动中的其他工具也与Sakabota存在大量代码重叠。例如,EYE中的Self_Distruct方法就与Sakabota中的Self_Distruct方法非常相似,且都会输出字符串“we be wait for you boss !!!”,如下图所示:
图5. Sakabota和EYE的对比
另一方面,Hisoka与Sakabota的C2域均为pasta58 [.] com,这同样能够证明它们之间的关联。
进一步分析表明,Histoka、Sakabota的基础设施与伊朗黑客组织OilRig的一些活动存在重叠,但由于时间间隔太大,这些重叠并不足以判定xHunt行动的幕后组织者就是OilRig。
图6.基础设施关联分析
结论
虽然工具集以及C2域存在相似之处,但目前尚不能完全肯定这两起行动(2018年7月-12月、2019年5月-6月)是否是同一伙人所为。
从基础设施的关联性来看,这两起行动甚至有可能还与伊朗黑客组织OilRig有关。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/150068.html