Dragos公司批露了一个名为HEXANE的攻击团伙,该团伙以中东地区石油和天然气公司为攻击目标,特别是科威特国内的公司。具体而言,该团伙通过攻击中东、中亚地区和非洲地区的网络服务提供商作为跳板,通过中间人攻击和其他相关手段进入海上石油钻井等石油和天然气设施。
参考链接:https://www.dragos.com/threat/hexane/
HEXANE在某些入侵事件中使用了恶意软件DanBot,这个恶意软件并不是HEXANE独有的,但是识别它有助于我们针对攻击组织总结出该组织使用的特定的技战术组合。以下是一些DanBot样本的静态特征。
这里我们首先注意到的是编译时间列。关注攻击团伙的活动时间跨度是很重要的一点,但在这里最重要的是将时间用作聚类的关键点。找出具有相似编译时间的样本可以帮助我们筛选所需关注的内容。攻击团伙选择使用看似合法的文件名是很常见的手法,在我们分析大型入侵事件时,这不能作为攻击团伙的特征。然而,编译文件的路径"D:Bot"显然是一个很独特的关键字,可以用于标识攻击组织。
攻击者可以使用十六进制编辑器随意修改恶意文件的静态信息,但并不是所有攻击者都有这样的好习惯。由于DanBot恶意软件使用.net开发,在visual studio编译时,会在二进制文件头中添加GUID和MVID两个唯一标识符。
在下表中我们可以看到,不同的样本,GUID是有重复的情况的。这可能是因为一个恶意软件有着多个开发人员。无论如何,我们现在可以依据样本的GUID和MVID与HEXANE进行关联,并以GUID或MVID作为条件进行聚类分析。
代码复用,这也是将恶意样本与攻击组织进行关联的常见套路。恶意软件常用的加解密逻辑、代码中硬编码的密钥都可以作为攻击组织的特征标识。例如Danbot恶意软件如下代码被重复使用了多次。
除此之外,我们还可以根据代码中的域名信息、互斥体、密码等硬编码的特征来提取特征值。例如下图中硬编码的UserAgent、Accept-Encoding等字段。我们甚至可以通过这些特征建立相应的检测规则。
原文始发于微信公众号(Desync InfoSec):在案例中学习威胁情报——HEXANE
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论