大家好,我是零日情報局。
本文首發於公眾號零日情報局,微信ID:lingriqingbaoju。
最近的新聞經常讓人不得不感慨,燈塔國是不是水逆了。什麼美國敗走敘利亞,總統川普“通烏門”被彈劾,全球鷹無人機被伊朗擊落,再被“暴屍”。
就連到處興風作浪的美國陸軍,這段時間在網路詐騙的圍攻下,“地表最強”的人設也有點崩塌。
今年9月,安全研究員發現了一個為美國退役軍人提供工作機會的網站。考慮到退伍軍人的恰飯問題,一個名叫Hire Military Heroes(僱用軍隊英雄)的組織,上線了專門為美國大兵解決就業的網站。
(美軍就業網站的文案很動人,我們使美國更安全)
可是研究員一查才發現,這才不是什麼“僱用英雄”的官方組織,就一黑客團伙假冒偽裝;他們也不是來解決退伍兵的就業剛需,只想針對美國軍人發起網路攻擊,僅此而已。
一旦美國士兵下載了應用程式,就開始安裝惡意軟體,黑客可以完全控制計算機。專家猜測,黑客最終目的劍指美國國防系統,以竊取重要軍事資訊。
敢對美軍下手的,得吃多少豹子膽,所以這個大膽囂張的黑客,斷然不是無名之輩。而關於這個正面剛美軍的黑客組織,賽門鐵克對它有過追蹤,名字就叫做Tortoiseshell(龜甲)。
說起針對美軍搞網路詐騙,這種在太歲頭上動土的事情,竟也不是一次兩次了。
前兩天的最新訊息,一個五人詐騙團伙供認,他們登入了美國陸軍的AHLTA(健康縱向技術應用)資料庫,然後偷偷用手機拍照,記錄獲取了現役、預備役、國民警衛隊、退伍等軍人的個人識別資訊。
前前後後,他們一共竊取了幾千個美國軍人的身份資訊,然後黑進美國國防部網站、退伍軍人福利網站,把受害人的銀行資金、養老金、傷殘津貼轉移到個人賬號,獲利金額已經達到了數百萬美元。
(美國法院對詐騙團伙的起訴書)
雖然說,這次事件是內鬼作案,團伙中有一人是美軍平民醫療記錄的管理者,但是區區一個的病歷管理員,就可以輕鬆拿到這麼多軍人的敏感資訊並二次利用,
讓人有理由懷疑,美軍內部的網路安全,指不定是有點毛病。
還有件事更尷尬,美國有442名軍官被人詐騙勒索了,贖金56萬美金。
至於敲詐過程,聽了叫人老臉一紅。詐騙犯看準美國軍人身邊都是糙老爺們,多少有點“飢渴”心態,便在社交平臺上假扮年輕美女,跟軍官們談起了線上戀愛。
殊不知這是一群關押在南卡羅萊納州一所監獄的犯人,等士兵們交換照片時,這群犯人搖身一變,又變成“女朋友”的父親或警察,指控士兵涉嫌兒童色情犯罪。
被人騙錢又騙感情,事後都沒有一個人敢吱聲,真是好慘一美軍啊。
看來,美國軍隊也不是鐵板一塊,尤其在網路威脅面前,美國陸軍自己也曾表示過,“每次敲擊鍵盤都可能是致命的,不管是對個人、軍隊,還是國家”。
那個專騙美軍的就業網站
就拿開頭提到的Hire Military Heroes虛假就業網站攻擊過程來說一說。
當使用者訪問網站時,會提示他們下載適用於Windows 8、8.1或Windows 10的桌面應用程式。對於Windows 10下載,它是一個包含名為win10.exe的程式的zip檔案。(多數可疑檔案分析服務都無法檢測到該檔案。)
下載檔案
啟動程式後,就會看到一個顯示“僱傭軍事英雄是僱用軍隊的新資源”的載入頁面,它光明正大的顯示正在嘗試連線資料庫。
載入畫面
其實,這時程式正在下載另外兩個惡意軟體檔案,並將其儲存到計算機。然後,它會顯示“對不起,您的安全解決方案終止了我們的伺服器的連線。”
假裝自己是合法程式,是你計算機不讓我執行。而實際上是,它壓根提供不了什麼就業服務。
偽造錯誤
這個時候,兩個偷偷下載的惡意軟體也已安裝完畢,並開始執行。一個負責收集中招軍人個人及其電腦資訊,一個負責執行黑客組織的攻擊命令。
收集資訊的惡意程式,會執行111個指令,這些指令將收集計算機上所有檔案的列表,驅動器資訊,執行程式,網路資訊,使用者帳戶列表,網路共享,ARP表條目,防火牆資訊等。
然後將所有這些資訊收集到名為%Temp%\ si.cab的檔案中,接下來就會通過嵌入式Gmail電子郵件,回傳給黑客。
部分執行的命令
除了收集資訊的惡意軟體外,還將在計算機上安裝遠端訪問木馬。該木馬將作為Windows的“ dllhost”服務安裝,顯示名稱為“ Dll host”。
接下來,中招者每次啟動Windows,就會開始感染木馬,因為“ dllhost”服務配置的是自動啟動。
一旦啟動,RAT將重新連線到攻擊者的命令和控制伺服器,並在其中接收要執行的命令。這些命令可以是終止服務,上載檔案,解壓縮檔案或執行命令。
總的來說,你的電腦還是你的,但你的電腦又不再是你的。
這種RAT感染實質上使攻擊者可以完全控制計算機,並允許黑客執行任何操作。並且有專家稱,此次攻擊範圍並僅限於美國退役軍人,美國現役軍人同樣會受到攻擊。
那隻專搞美國沙特的“龜甲”
其實這種攻擊方式,各大APT組織都十分上手,但敢盯上美國軍方的組織,是Tortoiseshell黑客組織,或者叫它“龜甲”也可以。
它最早的攻擊活動可以追溯到2018年7月,除了最近的攻擊美國陸軍行為,之前至少對11個組織發起過網路攻擊。巧就巧在,這些被攻擊組織大多是來自美國盟友,沙烏地阿拉伯。從瞭解到的資訊來看,這個“龜甲”非常擅長定製惡意軟體,比如自定義後門的Syskit木馬。
以下3個PowerShell指令碼,是他們常用的網路武器:
•Infostealer/ Sha.exe / Sha432.exe
•Infostealer/ stereoversioncontrol.exe
•get-logon-history.ps1
值得一提的是,網路專家曾經在其中一個受到TortoiseShell攻擊的受害者的電腦系統裡,找到了一個名叫Poison Frog(毒蛙)後門,這個後門與自伊朗的高階威脅OilRig(又名APT34,HelixKitten)的活動相關聯。
更多零日發現與反思
再強悍的軍隊,也都是由一個個人組成,銅牆鐵壁也有百密一疏時。
2017年,健身軟體Strava釋出一幅“全球運動熱力地圖”,一名澳大利亞學生通過這份熱力圖,找到了美國設在敘利亞、伊拉克和阿富汗等國的軍事基地。
至於洩露的源頭,是愛運動的美國大兵,日復一日的跑步軌跡點亮了整個基地。
(運動軌跡清晰勾勒出美軍摩加迪沙基地的輪廓)
強大如美軍,依然無法在危及全球的網路威脅中獨善其身。
甚至美軍現役150萬人的龐大體量,多如牛毛的發分支機構,都成了黑客組織隨時找到空子,發起網路奇襲的命門。
這無不時刻警醒著我們,21世紀,也許很難在大國之間看到硝煙瀰漫的戰爭,但威脅卻從未遠離,它可能來自網路,可能來自生活,也可能只是攻擊了一個人、一個組織、一個系統,就能癱瘓一個國家。