卡巴斯基于2016年6月監(jiān)測(cè)到了Operation Ghoul（食尸鬼行動(dòng)）網(wǎng)絡(luò)攻擊，Operation Ghoul針對(duì)30多個(gè)國(guó)家的工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)發(fā)起了定向滲透入侵。目前，卡巴斯基發(fā)現(xiàn)，有130多個(gè)機(jī)構(gòu)已被確認(rèn)為這類攻擊的受害者。

該攻擊最早可以追溯至2015年3月，值得注意的是，攻擊早期目標(biāo)多為中小企業(yè)涉及金融相關(guān)的銀行帳戶和知識(shí)產(chǎn)權(quán)。

*Ghoul，食尸鬼，阿拉伯傳說(shuō)中以尸體血肉或幼兒為食的惡魔，今天也為貪婪和物質(zhì)主義的形容。

主要攻擊媒介：惡意郵件

攻擊者以偽造的郵箱地址向受害者發(fā)送惡意電子郵件，郵件包含7z格式的惡意附件或釣魚(yú)鏈接。下圖為釣魚(yú)郵件樣例，內(nèi)容像是阿聯(lián)酋國(guó)家銀行相關(guān)的付款文件。

惡意附件

在魚(yú)叉式釣魚(yú)郵件中，7z文件包含一個(gè)形如Emiratesnbd_Advice .exe的惡意程序，其MD5哈希值如下：

fc8da575077ae3db4f9b5991ae67dab1?b8f6e6a0cb1bcf1f100b8d8ee5cccc4c?08c18d38809910667bbed747b2746201?55358155f96b67879938fe1a14a00dd6

郵件附件MD5哈希值：

5f684750129e83b9b47dc53c96770e09?460e18f5ae3e3eb38f8cae911d447590

為了竊取核心機(jī)密和其它重要信息，這些魚(yú)叉式郵件主要發(fā)送對(duì)象為目標(biāo)機(jī)構(gòu)的高級(jí)管理人員，如：

首席執(zhí)行官 首席運(yùn)營(yíng)官 總經(jīng)理 銷售和市場(chǎng)營(yíng)銷總經(jīng)理 副總經(jīng)理 財(cái)務(wù)和行政經(jīng)理 業(yè)務(wù)發(fā)展經(jīng)理 經(jīng)理 出口部門經(jīng)理 財(cái)務(wù)經(jīng)理 采購(gòu)經(jīng)理 后勤主管 銷售主管 監(jiān)督人員 工程師

Operation Ghoul（食尸鬼行動(dòng)）技術(shù)細(xì)節(jié)

惡意軟件功能

攻擊主要利用Hawkeye商用間諜軟件，它能為攻擊者提供各種工具，另外，其匿名性還能逃避歸因調(diào)查。惡意軟件植入后收集目標(biāo)系統(tǒng)以下信息：

按鍵記錄?剪貼板數(shù)據(jù)?FileZillaFTP?服務(wù)器憑據(jù)?本地瀏覽器帳戶數(shù)據(jù)?本地消息客戶端帳戶數(shù)據(jù)（?PalTalk?、?GoogleTalk?，?AIM…?）?本地電子郵件客戶端帳戶數(shù)據(jù)（?Outlook,Windows Live mail…?）?安裝程序許可證信息

數(shù)據(jù)竊取方式主要是Http及郵件

攻擊者主要用以下方式發(fā)送竊取數(shù)據(jù)：

HTTP方式：

發(fā)送至中轉(zhuǎn)機(jī) hxxp://192.169.82.86

電子郵件方式：

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]

commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com

ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業(yè)和技術(shù)行業(yè)網(wǎng)站。

惡意軟件指令

惡意軟件通過(guò)?被入侵的?中轉(zhuǎn)系統(tǒng)192.169.82.86收集受害者電腦信息：

hxxp://192.169.82.86/~loftyco/skool/login.php

hxxp://192.169.82.86/~loftyco/okilo/login.php

被Operation Ghoul（食尸鬼行動(dòng)）攻擊的國(guó)家及地區(qū)

攻擊者主要對(duì)以下幾個(gè)國(guó)家的工業(yè)領(lǐng)域機(jī)構(gòu)發(fā)起滲透攻擊：

Other行列為至少有3個(gè)工業(yè)機(jī)構(gòu)受到攻擊入侵的國(guó)家，其中有：瑞士、直布羅陀、美國(guó)、瑞典、中國(guó)、法國(guó)、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。

被Operation Ghoul（食尸鬼行動(dòng)）攻擊的行業(yè)統(tǒng)計(jì)

從受害機(jī)構(gòu)行業(yè)類型分布可以看出，攻擊者主要以制造業(yè)和工業(yè)設(shè)備生產(chǎn)機(jī)構(gòu)為主要滲透入侵目標(biāo)：

2016年6月，最新的攻擊主要集中在以下國(guó)家：

其它攻擊信息

攻擊者針對(duì)以下操作系統(tǒng)平臺(tái)進(jìn)行：

Windows?Mac OS X?Ubuntu?iPhone?Android

目前惡意軟件的檢測(cè)簽名：

trojan.msil.shopbot.ww?trojan.win32.fsysna.dfah?trojan.win32.generic

Operation Ghoul（食尸鬼行動(dòng)）總結(jié)

Operation Ghoul 是針對(duì)工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)的網(wǎng)絡(luò)攻擊，建議用戶和相關(guān)機(jī)構(gòu)：

（1）在查看或打開(kāi)郵件內(nèi)容及附件時(shí)請(qǐng)務(wù)必小心慎重；

（2）為了應(yīng)對(duì)安全威脅，應(yīng)該針對(duì)高級(jí)管理人員進(jìn)行信息安全培訓(xùn)。

Operation Ghoul（食尸鬼行動(dòng)）?IOC威脅指標(biāo)

惡意軟件相關(guān)文件和路徑信息：

C:/Users/%UserName%/AppData/Local/Microsoft/Windows/bthserv.exe?C:/Users/%UserName%/AppData/Local/Microsoft/Windows/BsBhvScan.exe?C:/Users/%UserName%/AppData/Local/Client/WinHttpAutoProxySync.exe?C:/Users/%UserName%/AppData/Local/Client/WdiServiceHost.exe?C:/Users/%UserName%/AppData/Local/Temp/AF7B1841C6A70C858E3201422E2D0BEA.dat?C:/Users/%UserName%/AppData/Roaming/Helper/Browser.txt?C:/Users/%UserName%/AppData/Roaming/Helper/Mail.txt?C:/Users/%UserName%/AppData/Roaming/Helper/Mess.txt?C:/Users/%UserName%/AppData/Roaming/Helper/OS.txt?C:/ProgramData/Mails.txt?C:/ProgramData/Browsers.txt

惡意軟件相關(guān)域名：

Indyproject[.]org?Studiousb[.]com?copylines[.]biz?Glazeautocaree[.]com?Brokelimiteds[.]in?meedlifespeed[.]com?468213579[.]com?468213579[.]com?357912468[.]com?aboranian[.]com?apple-recovery[.]us?security-block[.]com?com-wn[.]in?f444c4f547116bfd052461b0b3ab1bc2b445a[.]com?deluxepharmacy[.]net?katynew[.]pw?Mercadojs[.]com

攻擊活動(dòng)釣魚(yú)鏈接：

hxxp://free.meedlifespeed[.]com/ComCast/?hxxp://emailreferentie.appleid.apple.nl.468213579[.]com?hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php?hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo…?hxxp://192.169.82.86/~gurgenle/verify/webmail/?hxxp://customer.comcast.com.aboranian[.]com/login?hxxp://apple-recovery[.]us/?hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html?hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809?hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html?hxxp://www.deluxepharmacy[.]net

原文發(fā)布時(shí)間：2017年3月24日 本文由：freebuf發(fā)布，版權(quán)歸屬于原作者 原文鏈接：http://toutiao.secjia.com/operation-ghoul-action-interpretation-ics-security 本文來(lái)自云棲社區(qū)合作伙伴安全加，了解相關(guān)信息可以關(guān)注安全加網(wǎng)站

總結(jié)

以上是生活随笔為你收集整理的工控领域的网络攻击 食尸鬼行动深入解读Operation Ghoul的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。