Cover photo

DSC-污水攻击篇

简介:

污水”(MuddyWater) APT组织从2017年开始一直活跃,该APT组织主要针对中东国家,MuddyWater多以间谍活动的动机。从受害者所在的行业特征看,政府,电信公司和石油公司是该组织的主要目标。

本篇大东话文章以幽默诙谐的对话式语言描述了整个污水攻击的事件脉络,分析其攻击技术,给出应对措施建议,达到网安科普的目标

正文:

航空污水肆虐——APT组织部署后门攻击航空公司

一、小白剧场

小白:东哥最近又出差了吗,在研究所里好久都没看到你了?

大东:是啊,年底了比较忙,最近一直在空中飞来飞去的。

  打飞的(图片来源:网络)
打飞的(图片来源:网络)

小白:不愧是东哥,搞科研这么拼命,都去哪里跑项目了啊?

大东:这可不能随便跟你透露,作为一名久经沙场的科研工作者,这点保密意识可是一定要具备的哦!

小白:嘿嘿,当然当然(露出了尴尬的微笑)

大东:你这一问我到是想起来前一阵被公布的一则安全分析报告,这个报告与一家亚洲航空公司相关。

小白:难道又是哪家亚洲航空公司被攻击了吗?

大东:还没有被攻击,只是被分析出了潜在威胁,而且潜在攻击者疑似是一个伊朗APT组织。

小白:竟然是一个APT组织,这下事情可闹大了!

大东:说起APT组织,我要考考你,APT组织是怎么区别于其他威胁的呢?

小白:我最近可有好好学习哦,这难不倒我。APT又称高级持续性威胁,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。

大东:嗯嗯,不错,我很是欣慰。

小白:过奖了,东哥。那这次针对亚洲航空公司的疑似APT组织是何方神圣呢?

大东:它是一个非常活跃的全球性黑客组织,名为ITG17,又称“Muddy Water”。

小白:污水组织!这名起的真形象,那他对航空公司采取了哪些攻击措施呢?

二、话说事件

大东:在讲述本次航空威胁分析报告的内容之前,我先来介绍一下这款疑似来自伊朗的APT组织。

小白:好的,东哥,快讲吧!

大东:“污水”(MuddyWater) APT组织从2017年开始一直活跃,该APT组织主要针对中东国家。

小白:什么,竟然主要针对中东邻国?那他们的攻击特点是怎样的呢?

大东:该APT组织显著的攻击行为特点为善于利用powershell等脚本后门,通过Powershell在内存中执行,减少新的PE文件在受害者机器落地。

小白:这种攻击手段有什么优势呢?

大东:这种方式使得该组织的样本有着较低的检测率,另一方面也加大了安全机构的取证难度。

小白:原来如此,那它在历史的攻击行为中,其攻击动机都是什么呢?主要针对中东地区,那应该是看重了石油资源吧?

大东:你分析的很有道理,MuddyWater多以间谍活动的动机。从受害者所在的行业特征看,政府,电信公司和石油公司是该组织的主要目标。

小白:之前说他们擅于利用powershell等脚本后门,那本次针对亚洲航空公司的潜在攻击事件是不是也利用的后门呢?

三、大话始末

大东:没错,根据 IBM Security X-Force的报告,”污水“正在部署一个名为“Aclip”的后门,实施攻击活动。

小白:那这次攻击活动是近期才开始的吗,它们的攻击目的是什么呢?

大东:这次攻击活动始于2019年,目标是一家亚洲航空公司,以窃取航班预订数据。

小白:原来是要从订单数据上做手脚,仔细想想航空订单数据泄露可不是小事啊!

大东:没错,一旦掌握了足够的订单信息,就可提取某些关键人物的近期航班动向,进而可对其活动区域进行定点监控,执行某些后续攻击。

小白:这可真是太可怕了,怪不得东哥对航班信息这么谨慎!

大东:仔细想想,近期航空数据泄露的事件确实不少。

小白:可以举个例子分享一下吗,东哥?

       航空公司数据泄露(图片来自网络)
航空公司数据泄露(图片来自网络)

大东:比如在2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。

小白:那国家安全机关采取了哪些后续行动呢?

大东:国家安全机关立即进行技术检查,确认了相关信息系统已遭到网络武器攻击。

小白:遭受了什么攻击呢?

大东:该航空公司的多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。

小白:那本次数据窃取是单一作案,还是一种类似APT组织的攻击呢?

大东:经过安全机关的进一步排查发现,另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。

小白:看来很有可能是个APT组织了!

大东:具体是哪个APT组织并没有明确,经深入调查,已经确认本次相关攻击活动是由某境外间谍情报机关精心策划、秘密实施,攻击中利用了多个技术漏洞,并利用多个国家和地区的网络设备进行跳转,以隐匿踪迹。

小白:既然已经基本调查清楚了,那他们呢采取了哪些防护手段呢?

大东:针对这一情况,国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序,调整技术安全防范策略、强化防范措施,制止了危害的进一步扩大。

小白:还好还好,那话说回来,“污水”本次使用的“Aclip”后门是怎样执行攻击的呢?

大东:据了解,“Aclip”主要通过名为“aclip.bat”的 Windows 批处理脚本执行。该后门通过添加注册表项在受感染设备上建立持久性,并在系统启动时自动开启。

小白:那开启之后又进行了哪些操作呢?

大东:开启之后,“Aclip”滥用 Slack API 进行秘密通信:通过 Slack API 函数从 C2 服务器接收 PowerShell 命令,用于执行进一步的命令、发送 Windows 桌面的屏幕截图以及泄露文件。

IBM报告中的Aclip攻击操作图(图片来源:网络)
IBM报告中的Aclip攻击操作图(图片来源:网络)

小白:Slack是个什么东东?

大东:Slack 是隐藏恶意通信的理想平台,因为其在企业中广泛部署,数据可以很好地与常规业务流量融合。

小白:原来如此,已经被广泛部署了,怪不得会被针对。那执行后门程序后,攻击者会主要收集哪些数据呢?

大东:攻击者第一次执行Aclip后门程序时,会收集基本系统信息,包括主机名、用户名和外部 IP 地址,此数据使用 Base64 加密并泄露给攻击者。

小白:系统信息窃取应该不是其主要目的吧?

大东:没错,在窃取到系统信息后,从命令执行查询阶段开始,Aclip 连接到 actor 控制的 Slack 工作区不同通道。最后使用 PowerShell 图形库截取屏幕,并保存至 %TEMP% 直到数据渗漏,图像上传到 C2 后,它们将被擦除。

小白:这样航空订单数据就被悄无声息的以截图形式窃走了!那IBM是怎样分析出此次潜在攻击的来源是“污水”呢?

大东:其实IBM 研究人员早在 2021 年 3 月就发现了滥用此通信渠道的威胁行为者,并将其披露给了Slack。后续IBM 在调查发现两个已知归因于黑客组织的自定义恶意软件样本后,将此次攻击与 “污水”联系起来。

四、小白内心说

小白:东哥,面对此次针对亚洲航空公司的APT攻击,我们该采取怎样的防御措施将这种潜在攻击扼杀在摇篮中呢?

大东:MuddyWater APT组织从2017年被曝光以来不但没有停止攻击,反而更加积极的改进攻击武器。要做出防御就要从分析该组织的攻击技术入手。

小白:如何分析呢?

大东:从该组织的TTPs上来看,该APT组织的积极探索非PE文件后门,目前该APT组织有着成熟的js、powershell后门程序和完整的混淆反查杀流程。因此,我们提醒广大政府、企业等广大用户,切勿随意打开来历不明的邮件附件,同时安装安全软件。

小白:那目前有没有一种专门的威胁检测系统可以防御这种攻击呢?

大东:目前,腾讯“御界”高级威胁检测系统已经可以检测并阻断该轮攻击的连接行为。

小白:可以介绍一下“御界”系统吗,东哥?

大东:“御界”高级威胁检测系统是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

小白:它有什么核心能力呢?

大东:凭借基于行为的防护和智能模型两大核心能力,“御界”高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。

小白:好强大啊,这样一来不只是航空公司,所有大型企业都可以通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。

五、参考资料

1. 近期“污水”(MuddyWater)APT组织攻击活动汇总

https://www.freebuf.com/articles/web/165061.html

2. 窃取航空公司数据 国家安全机关披露境外数据窃密案

https://baijiahao.baidu.com/s?id=1715190577619190543&wfr=spider&for=pc

3.自9月份以来,MuddyWater(污水)间谍团伙已攻破至少30家组织

https://www.sohu.com/a/282320590_100066938

4.什么是APT?

https://zhuanlan.zhihu.com/p/269751090

5.某航空公司被间谍攻击!航空爱好者被骗

https://www.163.com/dy/article/GNRE4GCH05373FX7.html