NO.59 | 2019.09.30
banner
title有備而來 友善列印>>
【情資案例調查報告】OilRig駭客組織發動TwoFace webshell攻擊,資安防護設備難以檢測_資通安全組 林高裕副主任

一、案例背景說明
  
  OilRig為伊朗的駭客組織(又名APT34) ,2014年起就持續針對中東地區的網路進行威脅活動,其目標包含能源、金融、政府、化工、電信等產業。美國網路安全公司「FireEye」根據基礎設施分析的報告評估推測,該組織被指稱極可能是得到伊朗政府的支持。許多惡意工具也顯示與該組織有所關聯,包括ISMAgent、ISMDoor、ISMInjector 及本次要探討的TwoFace webshell。

二、案例研究說明

  TwoFace webshell是利用兩個webshell進行攻擊,分別為TwoFace Loader以及TwoFace Payload,並且皆使用C語言所撰寫,如圖1所示。
 
https://www.emanueledelucia.net/site/files/2019/08/image_1.jpg
圖1:使用C語言撰寫的webshell
(資料來源:Emanueledelucia)
 
  TwoFace Loader的目的是將TwoFace Payload解密後,進行主要的惡意活動,甚至TwoFace Loader還具備隨機更換檔案名稱與變數的功能,這使得資安人員在制定文件檢測規則進行防禦時變得更加困難。進一步檢視TwoFace Loader,其檔案包含一組密鑰及TwoFace Payload,而駭客則利用HTTP request的方式傳送另一組密鑰進行解密,並藉由TwoFace Payload進行攻擊。下圖2即為研究人員所捕獲的TwoFace Loader樣本程式。
 
IMAGE_2
圖2: TwoFace Loader樣本
(資料來源:Emanueledelucia)
 
  一旦駭客成功將TwoFace Loader放入伺服器中,便可開始使用TwoFace Payload進行惡意活動。駭客使用HTTP Cookie參數來控制TwoFace Payload,執行多種惡意命令控制受害伺服器,如下圖3所示。
 
https://www.emanueledelucia.net/site/files/2019/08/image_5.jpg
圖3: TwoFace Payloader樣本
(資料來源:Emanueledelucia)

  研究人員分析,TwoFace Payload是個功能強大且齊全的webshell,除了能執行多個惡意命令外還具備橫向感染的能力。經統整,TwoFace Payload具備以下六種惡意操作功能:
  1. 任意命令執行
  2. 任意程序執行
  3. 下載文件
  4. 上傳文件
  5. 刪除文件
  6. 操作文件
三、駭客攻擊流程與手法

  下圖(圖4)為駭客攻擊流程與方式,攻擊步驟說明如下:
  1. 各種網路攻擊行為,如:SQLI、XSS、RFI…等
  2. 植入webshell TwoFace Loader
  3. 解密webshell TwoFace Payload
  4. 使用HTTP Cookie參數控制TwoFace Payload
  5. 執行惡意命令

圖4: APT34駭客組織攻擊流程與方式
(資料來源:本中心分析整理)

四、Indicator of Compromise (IoC)資訊

  本章節分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256入侵指標以利各通傳業者分析情資加強資安防護,詳見表1。
 
編號 SHA256
1 0748d858a81567984bd21e18164ccc81e9f51e406f74da33f90f09d3d8fb9202
2 2393c44c3636551474bd4469e0bd2d3f71fcf505c90737607eca54cfba4afea9
3 3578a541b9c51e2b8727334e6051942c20247bb8cdb5badd00a6bfe033717136
4 22c4023c8daa57434ef79b838e601d9d72833fec363340536396fe7d08ee2017
5 525900b31b42ec66bacb47637a967b7b2057f3dd4b4a8cf68cfd5b756cbfdeb8
6 8bdC80f70118d92a21efeb7eb3a8bed8dbfadb194b80461488b3c216d1cbda83
7 ed684062f43d34834c4a87fdb68f4536568caf16c34a0ea451e6f25cf1532d51
8 f4da5cb72246434decb8cf676758da410f6ddc20196dfd484f513aa3b6bc4ac5
9 9a361019f6fbd4a246b96545868dcb7908c611934c41166b9aa93519504ac813
10 d0ffd613b1b285b15e2d6c038b0bd4951eb40eb802617cf6eb4f56cda4b023e3
11 bca01f14fb3cb4cfbe7f240156feebc55abac73a6c96b9f75da2f9df580101ef
12 8d178b9730e09e35c071526bfb91ce72f876797ebc4e81f0bc05e7bb8ad1734e
13 8f0419493da5ba201429503e53c9ccb8f8170ab73141bdc6ae6b9771512ad84b
14 0a77e28e6d0d7bd057167ca8a63da867397f1619a38d5c713027ebb22b784d4f
15 54c8bfa0be1d1419bf0770d49e937b284b52df212df19551576f73653a7d061f
16 818ac924fd8f7bc1b6062a8ef456226a47c4c59d2f9e38eda89fff463253942f
17 fd47825d75e3da3e43dc84f425178d6e834a900d6b2fd850ee1083dbb1e5b113
18 79c9a2a2b596f8270b32f30f3e03882b00b87102e65de00a325b64d30051da4e
19 e33096ab328949af19c290809819034d196445b8ed0406206e7418ec96f66b68
20 c116f078a0b9ea25c5fdb2e72914c3446c46f22d9f2b37c582600162ed711b69
 
表1: OilRig駭客組織SHA256入侵指標
(資料來源:本中心分析整理)

五、整體建議與總結

  駭客在入侵企業網站時,會透過各種攻擊方式植入webshell,進而獲得企業網站的控制權,常見攻擊方式有:利用網站上傳漏洞植入webshell、SQL Injection、RFI、XSS...等。因此定期修補伺服器漏洞,並確保網站伺服器與內網之間的帳號權限不會相互影響,皆為維護網路安全的重要課題。而TwoFace webshell因為使用雙層架構,在資安設備進行偵測與防禦時較難檢測到。並且這種webshell還具備橫向感染的能力,倘若駭客從伺服器轉向內網進行植入攻擊,後果將相當嚴重。

  為避免遭到駭客組織的攻擊,通傳業者可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
  1. 定期修補網站漏洞,避免駭客利用已知的漏洞進行攻擊。
  2. 評估報告中之入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
  3. 對上傳程序進行身份認證或以白名單機制管理,並只允許受信任的人使用上傳程序。
  4. 確認網站伺服器與內網兩邊的帳號不會相互影響,讓駭客有機會利用特殊權限進行攻擊。
  5. 日常維護要注意是否有來歷不明的文件放在伺服器目錄下。
參考資料:
  1. Emanueledelucia,取自: