概述
2017年,一個自称为Shadow Brokers〔影子经纪人〕神秘组织,泄露著名Equation组织一系列黑客工具,该大事也随就变成近年来最要紧网络保障大事之一,Equation组织〔方程式组织,美国国家保障局NSA下属组织〕被感觉是世界范围内技术最成熟间谍组织之一,其工具泄露,显然对保障领域引发重大影响,很多攻击者纷纷利用泄露工具实行恶意软件制作、实际攻击,其中一個更为著名工具,就EternalBlue〔永恒之蓝〕漏洞利用工具,被广泛用于2017年5月爆发WannaCry勒索软件之中,并对世界范围内运用者引发破坏性影响,
反而,Symantec已经发现有证据说明,Buckeye网络间谍组织〔又名APT3、Gothic Panda〕在Shadow Brokers泄露Equation组织工具包前至少一年,就开始运用Equation工具,
从2016年3月开始,Buckeye开始试用DoublePulsar〔Backdoor.Doublepulsar〕工具变种,该利用工具在2017年才由Shadow Brokers公开发布,DoublePulsar〔双脉冲星SMB后门〕特意运用自定义漏洞利用工具〔Trojan.Bemstour〕实行对受害者感染,
Bemstour利用两個Windows漏洞,在意向计算机上实行远程内核代码执行,其中,一個漏洞是Symantec发现Windows 0-day漏洞〔CVE-2019-0703〕,另一個漏洞〔CVE-2017-0143〕在2017年3月发现被EternalRomance、EternalSynergy这两個漏洞利用工具利用后就被修补,而后者提到两個漏洞利用工具,也是Shadow Brokers泄露NSA工具包中一一部分,
其中最先個個0-day漏洞,将导致信息泄露,同时一旦与其他漏洞一道利用,将获得远程内核代码执行,Symantec在2018年9月向Microsoft报告这一难题,Microsoft在2019年3月12日实行漏洞修复,
Buckeye间谍组织是从什么途径,能够在Shadow Brokers泄露Equation组织工具包至少一年前获得这些工具?这個难题答案咱们依旧未知,
Buckeye组织在2017年年中消失在人们视线范围之中,该组织3名成员在2017年11月在美国被起诉,反而,纵然涉及已知Buckeye工具恶意活动在2017年年中停止,但Beckestour漏洞利用工具、Buckeye运用DoublePulsar变种依旧在2018年9月被用于与各异恶意软件一道运用,
重心发现
1. Buckeye攻击组织在Shadow Brokers泄露Equation组织工具包至少一年前,就运用这些工具获取对意向组织持久访问,
2. Buckeye所运用Equation组织工具变种,似乎与Shadow Brokers发布工具不同样,这大概说明二者来源不同样,
3. Buckeye运用Equation组织工具,还涉及到利用以前未知Windows 0-day漏洞,Symantec在2018年9月向Microsoft报告这一漏洞,Microsoft在2019年3月实行修复,
4. 纵然Buckeye似乎在2017年年中停止运作,但他们运用Equation组织工具,被持续用于攻击,直至2018年年底,咱们暂不清楚是谁运用这些工具,但推测这些工具大概已经被传播到其他恶意组织,或者Buckeye依旧在持续运作中,
0-day漏洞利用历史
Buckeye攻击组织至少在2009年就开始活跃,当时该组织发起一系列间谍攻击活动,最先选针对美国组织,
在历史上,该组织过去利用过0-day漏洞,在2010年,他们运用过CVE-2010-39620-day漏洞实行攻击,在2014年,他们运用过CVE-2014-1776漏洞实行攻击,另外,还有疑似该组织运用一些其他0-day漏洞攻击记录,但咱们尚未对其权威性实行确认,目前咱们已知,或者怀疑该组织开展所有0-day攻击,都是针对Internet Explorer、Flash中漏洞,
攻击时间表
从2016年8月开始,一個自称为Shadow Brokers〔影子经纪人〕组织开始发布声称来源于Equation〔方程式〕组织工具,起初,他们发布他们持有信息样本,并为出价最高者供应全套工具,在接下来几個月中,他们逐步发布更多工具,直到2017年4月,发布最后大量工具,其中涵盖DoublePulsar后门、FuzzBunch框架、EternalBlue漏洞利用工具、EternalSynergy漏洞利用工具、EternalRomance漏洞利用工具,
反而,Buckeye至少在一年前就已经运用过这些被Shadow Brokers在一年之后泄露工具,Buckeye最新运用Equation工具时间是2016年3月31日,用于攻击坐落香港意向,在这次攻击中,Bemstour漏洞利用工具经由已知Buckeye恶意软件〔Backdoor.Pirpi〕被传递给受害者,在一小时后,Bemstour漏洞利用工具被用于攻击坐落比利时一家教育机构,
Bemstour是特意设计用于供应DoublePulsar后门变种,随后,利用DoublePulsar注入第二阶段Payload,该Payload仅在内存中运行,就使是在删除DoublePulsar之后,第二阶段Payload也能够允许攻击者访问受影响计算机,值得注意是,在该工具早期版本中,没有卸载DoublePulsar植入工具任何方法,卸载功能已经在更高版本中被添加,
Bemstour漏洞利用工具一個显著改进版本是在2016年9月推出,当时新推出版本恶意软件被用于针对香港教育机构发动攻击,纵然原始版本仅持助32位操作系统,但新推出版本同时持助32位、64位系统,也增加对较新版本Windows系统持助,第二种变种中,Payload增加另一個新功能,允许攻击者在受感染计算机上执行任意Shell命令,该自定义Payload还可以复制意向计算机任意文件,以及在意向计算机上执行任意进程,当意向是32位操作系统时,Bemstour依旧会供应相同DoublePulsar后门,但针对64位意向,它仅供应自定义Payload,攻击者经常运用该工具来执行创建新运用者帐户Shell命令,
Bemstour在2017年6月被再次用于攻击卢森堡一個组织,与Bemstour运用BuckeyePirpi后门交付早期攻击不同样,在这次攻击中,Bemstour被另一個后门木马〔Backdoor.Filensfer〕交付给受害者,2017年6月至9月期间,Bemstour还被用于攻击菲律宾、越南意向,
攻击者对于Bemstour开发过程一直持续到2019年,根据Symantec监测,咱们发现最新Bemstour样本是在2019年3月23日编译,就Microsoft修复0-day漏洞后第11天,
上述所有攻击目,都是为在受害者网络上获得持久性,这意味着攻击者最有大概目是窃取特定信息,
与恶意软件Filensfer关联
Filensfer是一系列恶意软件,自2013年以来,这一系列恶意软件一直被攻击者运用,用于针对特定意向攻击,Symantec发现该系列多個版本恶意软件,涵盖C++版本、编译Python版本〔运用py2exe〕、PowerShell版本,
在过去三年中,Filensfer已经被攻击者部署到坐落卢森堡、瑞典、意大利、英国、美国意向组织中,其中涉及电信、媒体、制造业,纵然咱们从未观察到Filensfer与任何已知Buckeye工具一起运用,但其他厂商已经发现一些证据,证明Filensfer与已知Buckeye恶意软件〔Backdoor.Pirpi〕一起运用,
Bemstour漏洞利用工具
Bemstour利用两個Windows漏洞,在意向计算机上实行远程内核代码执行,
该漏洞是由于Windows SMB服务器搞定某些请求方法存在难题,咱们发现并报告这個0-day漏洞〔CVE-2019-0703〕,该漏洞允许泄露特定信息,
第二個漏洞〔CVE-2017-0143〕是一种消息类型混淆漏洞,当两個漏洞一起被利用时,攻击者可以以内核模式代码执行方法获得百分之百访问权限,于是向意向计算机传递恶意软件,
当Bemstour在2016年最先发运用此工具时,两個漏洞都是0-day,以后CVE-2017-0143在2017年3月被Microsoft修复〔MS17-010保障通告〕,CVE-2017-0143还被其他两個漏洞利用工具——EternalRomance、EternalSynergy所运用,这些漏洞利用工具在2017年4月作为Shadow Brokers泄露工具包中一一部分被公开发布,
Buckeye漏洞利用工具EternalRomance、EternalSynergy可以利用CVE-2017-0143消息类型混淆漏洞,在未安装补丁计算机上实行内存损坏,为获得远程代码执行,这三种漏洞利用工具除利用上述消息类型混淆漏洞之外,还须要收集有关受攻击系统内存结构信息,每個工具都以各异方法来实行这一目,同时依赖各异漏洞,在Buckeye漏洞利用工具中,运用是他们自己发现0-day漏洞〔CVE-2019-0703〕,
DoublePulsar开发
在Buckeye开展最先個次攻击中,他们所运用DoublePulsar变种与Shadow Brokers泄露不同样,该变种似乎包含针对较新版本Windows〔Windows 8.1、Windows Server 2012 R2〕代码,说明这是较新版本恶意软件,另外,它还包含一层额外混淆,根据其技术特征、编译时间判断,这种混淆大概是由DoublePulsar原始作者创建,
值得注意是,攻击者从未在其攻击过程中运用过FuzzBunch框架,FuzzBunch是一個旨在管理DoublePulsar、其他Equation组织工具框架,并在2017年被Shadow Brokers泄露,这说明,Buckeye组织只能成功获取有限数量〔或一定范围〕Equation工具,
Buckeye组织时间表
2016年3月
Buckeye开始在实际攻击中运用Equation组织工具:DoublePulsar后门、Bemstour漏洞利用工具〔其中涵盖Equation组织运用CVE-2017-0143漏洞利用〕,
2016年9月
Bemstour升级版本投入运用,
2017年3月
在Shadow Brokers泄露工具包后,Microsoft发布CVE-2017-0143补丁;
咱们最后一次发现BuckeyePirpi恶意软件样本,
2017年4月
Shadow Brokers公开发布Equation组织工具包,其中涵盖DoublePulsar后门、EternalRomance、EternalSynergy漏洞利用工具,后面两個利用工具运用CVE-2017-0143漏洞,
2017年6月
Bemstour、DoublePulsar在针对卢森堡攻击中被运用,该工具与Filensfer后门结合运用;
Bemstour、DoublePulsar在针对菲律宾攻击中被运用,
2017年8月
Bemstour、DoublePulsar在针对越南攻击中被运用,
2017年11月
三名涉嫌与Buckeye组织有关联成员在美国被起诉,
2018年9月
发现Bemstour漏洞利用工具运用一個0-day漏洞〔CVE-2019-0703〕并将漏洞情况报告给Microsoft,
2019年3月
Microsoft发布CVE-2019-0703补丁;
最新Bemstour样本完成编译并投入运用,
尚不搞定疑问
关于Buckeye如何在Shadow Brokers泄露工具包之前获取到Equation组织工具,有多种大概性,咱们根据攻击时间、工具特征以及工具构建方法,推测其中一种大概性是,Buckeye从捕获网络流量中发现这些工具,并自行设计他们工具版本,大概是观察来自Equation组织攻击活动,鉴于目前已有证据,Buckeye经由访问不保障Equation组织服务器获取工具,或Equation组织成员将工具泄露给Buckeye这两种大概性较低,
在Buckeye淡出人们视野之后,这些漏洞利用工具以及DoublePulsar还持续被运用,这大概说明Buckeye在2017年被曝光后实行重新调整,放弃咱们发现与该组织相关所有工具,反而,除继续运用这些工具之外,咱们还没有发现任何其他证据说明Buckeye已经重组,这也将咱们导向另外一种大概性——Buckeye将一些工具共享给其他组织,
防护措施
运用者可以运用当地反病毒防护产品或网络入侵检测产品,来防止受到此类攻击。
根据文件呵护如下:
· Trojan.Bemstour
· Backdoor.Doublepulsar
· Backdoor.Pirpi
· Backdoor.Filensfer
网络入侵检测/防护规则如下:
· 攻击:SMB Double Pulsar Ping
· 攻击:SMB Double Pulsar响应
· 攻击:SMB Double Pulsar V2活动
· 攻击:RDP Double Pulsar Ping
IoC
Pirpi〔最先個個变种〕
· MD5:7020bcb347404654e17f6303848b7ec4
· SHA256:cbe23daa9d2f8e1f5d59c8336dd5b7d7ba1d5cf3f0d45e66107668e80b073ac3
Pirpi〔第二個变种〕
· MD5:aacfef51a4a242f52fbb838c1d063d9b
· SHA256:53145f374299e673d82d108b133341dc7bee642530b560118e3cbcdb981ee92c
用于在远程计算机上列出运用者帐户命令行实用程序
· MD5:c2f902f398783922a921df7d46590295
· SHA256:01f53953db8ba580ee606043a482f790082460c8cdbd7ff151d84e03fdc87e42
Filensfer〔C/C++〕
· MD5:6458806a5071a7c4fefae084791e8c67
· SHA256:6b1f8b303956c04e24448b1eec8634bd3fb2784c8a2d12ecf8588424b36d3cbc
Filensfer〔PowerShell〕
· MD5:0d2d0d8f4989679f7c26b5531096b8b2
· SHA256:7bfad342ce88de19d090a4cb2ce332022650abd68f34e83fdc694f10a4090d65
Filensfer〔py2exe〕
· MD5:a3932533efc04ac3fe89fb5b3d60128a
· SHA256:3dbe8700ecd27b3dc39643b95b187ccfd44318fc88c5e6ee6acf3a07cdaf377e
命令行SMB客户端
· MD5:58f784c7a292103251930360f9ca713e
· SHA256:1c9f1c7056864b5fdd491d5daa49f920c3388cb8a8e462b2bc34181cef6c1f9c
HTran
· MD5:a469d48e25e524cf0dec64f01c182b25
· SHA256:951f079031c996c85240831ea1b61507f91990282daae6da2841311322e8a6d7