歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

xHunt:新憑證竊取水坑攻擊活動

來源:本站整理 作者:佚名 時間:2020-03-16 TAG: 我要投稿


研究人員對xHunt的一起攻擊活動進行分析時發現科威特的一個租房組織web頁面被用作水坑攻擊。該web頁中含有一個隱藏的圖像,其中引用了與xHunt攻擊活動運營者進行的惡意活動相關的域名。
研究人員認為與該攻擊活動相同的攻擊者參與了Hisoka攻擊活動,Hisoka攻擊活動入侵和注入HTML代碼到網站中來從網站訪問者處獲取憑證,主要是收集賬戶名和口令的哈希值。攻擊者可能會破解這些收集的哈希值來獲取訪問者的口令,或者使用收集的哈希值來發起終繼攻擊來獲取其他系統的訪問權限。
如果成功獲取了賬戶憑證,被黑的數據就會被攻擊者用來從其他組織中竊取敏感信息。此外,因為使用的是可信憑證,他可以使攻擊者在一段時間內不被檢測到,使得攻擊者可以從該組織的其他部分竊取數據,甚至安置后門,甚至在被移除后仍然可以進入系統。
在一段時間內,研究人員在該運營者使用的基礎設施上發現一個DNS重定向活動。重定向活動中的域名主要含有引用該組織郵箱服務器的子域名。
使用科威特政府網站
在xHunt攻擊活動的開源研究中,研究人員一個屬于科威特政府的網站引用了一個與Hisoka相關的C2基礎設施上的圖像文件。從2019年5月開始,該圖像引用的域名 microsofte-update[.]com ,在2019年12月域名修改為learn-service[.]com。2020年1月開始,該圖像不再引用該網站。
研究人員分析了網站上的HTML代碼來更好地理解該組織的網站如何嘗試從該域名加載圖像,如圖1和圖2所示。圖1表示web頁面嘗試從URI 文件file:///\\microsofte-update[.]com\c$\ 加載圖像。該URI的style屬性visibility:hidden表明網站訪問者并不會看到。該URI文件使用file URI方案和域名 microsofte-update[.]com作為host主機,“c$”作為到圖像文件的路徑。研究人員發現該路徑很有意思,因為HTML文件會嘗試從“C:”來加載一個位于遠程服務器的文件。從邏輯上講,這段代碼并不會加載真實的圖像文件。
圖2是2019年12月保存圖像文件的URL發送變化,但代碼的其他部分沒有發生變化。

圖 1. 2019年中位于科威特政府網站Header的圖像

圖 2. 2019年底位于科威特政府網站footer的圖像
研究人員攻擊者嘗試從web頁面訪問者處獲取NTLM哈希值形式的賬戶憑證。Windows機器會在認證服務器時使用NTLM哈希值。在訪問含有該代碼的web頁面時,用戶瀏覽器可能會通過訪問遠程服務器上的文件共享來加載該圖像。為訪問該遠程文件共享,Windows會發起NTML challenge-response(挑戰-響應)認證請求。如果URI中指定了攻擊者控制的服務器來枚舉NTLM握手,網站訪問者位于本地網絡上就允許內部Windows網絡協議來到達攻擊者控制的服務器,然后攻擊者就可以獲取訪問者的NTLM哈希值和其他系統信息。在獲取了NTLM哈希值后,攻擊者會破解哈希值來獲取用戶的口令或將哈希值用于中繼攻擊中。
研究人員搭建了一個Responder工具并將環境配置為 microsofte-update[.]com 域名解析到該服務器。然后從另外一臺注入了HTML代碼的計算機上訪問了該系統,然后觀察Responder工具收集域名、用戶名、IP地址和NTLM哈希值的情況,如圖3所示。

圖 3. Responder工具收集系統信息的輸出
DNS重定向
研究人員在分析Responder收集活動時,還發現了相關基礎設施上存在DNS 重定向的問題。如圖4所示,2019年5月,屬于科威特組織的域名開始解析到一個xHunt運營人員使用的基礎設施。

圖 4. 2019年4月和5月DNS重定向活動示例
這些重定向都是與科威特政府和一些所有企業相關的。研究人員同期還發現重定向域名中使用了一些Let’s Encrypt證書。目前還不清除,DNS重定向是否成功獲取了訪問者信息。
研究人員還發現一些IP范圍解析的域名并沒有與xHunt基礎設施活動完全重合,其中一個例子就是和域名sakabota[.]com相關的Sakabota。該域名在2018年9月解析為 185.15.247[.]140,而在2017年1 2月到2018年1月間,該IP地址被用于DNS劫持活動。研究人員還注意到OilRig和Chafer也在不同的時間解析到該IP地址。
結論
科威特政府網站中注入的HTML代碼是用來從網站訪問者處獲取憑證的,尤其是獲取賬戶名和口令哈希值。研究人員分析認為相同的攻擊者也參與了Hisoka攻擊活動,因為兩起攻擊活動使用的基礎設施有一定的重合。
 

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏