当前位置:首页 > Web安全 > 正文

核心工业系统陷入危机?印度核电厂遭受网络攻

11-16 Web安全

2019年10月29日,有Twitter用户声称印度Kudankulam核电厂遭到网络攻击,奇安信威胁情报中心结合公开情报将主要事件时间线整理如下。

9月4日以前,第三方机构发现针对印度核电厂的网络攻击活动,并告知Twitter用户PukhrajSingh,其是一名印度的威胁情报分析师,现工作于印度本土的安全公司Bhujang Innovations,于9月4日通报了英国NCSC机构,并在9月7日对外提起了此事件。

9月23日,卡巴发布了一篇关于Dtrack的恶意代码报告,从上述推文来看该RAT和攻击事件相关。

10月19日,印度IANS新闻来源表示,其Kudankulam核电厂第二座核电机组于当日停止发电,其原因为“SGlevellow”,通过查阅资料,其应该是蒸汽发生器(Steam Generator)故障,而蒸汽发生器是作为反应堆冷却剂系统压力边界的一部分。

10月28日,某Twitter用户披露了VT上DTrack样本(md5: 4f8091a5513659b2980cb53578d3f798),并且指出其内嵌了疑似与印度核电厂相关的用户名KKNPP,随后引发热议。

10月29日,各大新闻媒体公开披露该事件,并且印度安全人员对历史情况进行一些解释和说明,并且披露攻击来源已经获取核电厂内部域控级别的访问权限。

Dropper(md5:b7c3039203278bc289fd3756571bd468)程序是一个MFC编写的应用。编译时间为Fri Jul 05 02:02:58 2019,整个MFC主体是一个空壳,实际的代码是在CRT部分一开始从PE文件指定偏移处读取shellcode。

欢乐棋牌 将PE文件dump后计算其md5为4f8091a5513659b2980cb53578d3f798,即twitter上提到的样本。

这里以4f8091a5513659b2980cb53578d3f798样本为例,也是twitter上提到的样本,可以看到卡巴检测为DTrack。其编译时间为Mon Jul 29 13:36:26 2019。

这里值得注意的是其使用了一个特殊的字符串变化函数,如果传入字符串以CCS_开头,则去掉前缀返回,否则从第二个字符开始和首字符异或。

然后其会将相关文件加密Zip压缩,这里使用了两个不同的密钥“dkwero38oerA^t@#”、“abcd@123”。

有国外安全研究人员在Pastebin上也给出了其他几个文件hash,其和上述分析的DTrack RAT略有不同,这里以acd7aafa65d0dc4bdb5f04940107087b为例,其编译时间为Tue May 21 12:20:03 2019。

该样本遗留了大量的日志,并且所有字符串进行加密,加密的种子密钥为“rcmgmg3ny3pa”:

其支持多种持久化方式安装,包括在Startup路径下生成LNK文件,安装服务,创建任务计划。

MD5为b5ab935d750be8b5b7c9cf3b87c772ca的样本编译于Fri Mar 01 00:07:25 2019,从功能来看,其是上面分析的阉割版本,实现功能不完全,但是内嵌了相关内网IP地址。

有趣的是,在分析DTrackRAT的过程中,其中的字符串变换函数和卡巴发布的DTrack报告中提到的几乎完全一样(下图左为卡巴报告截图):

并且其中Zip压缩所使用的密码也曾出现在McAfee在2013年披露的OperationTroy报告中使用,并且代码块极为相似。

卡巴在其9月的Dtrack报告中披露从2018年夏末发现的针对印度银行的恶意软件Dtrack。而此次Twitter上曝光的样本4f8091a5513659b2980cb53578d3f798由于其内嵌了KKNPP的内网访问用户名,认为是和核电厂被网络攻击事件高度相关的,并且和卡巴披露的Dtrack家族归属同一攻击组织。

该攻击组织至少从2018年起开始针对印度的银行、核电站领域实施APT攻击,并且至今仍在进行中。我们推测针对银行的活动可能从2018年夏至2019年上半年,而针对核电站的攻击活动可能从2019年7月甚至更早开始。

Twitter上披露的4f8091a5513659b2980cb53578d3f798样本和b7c3039203278bc289fd3756571bd468样本应该和核电厂攻击事件高度相关,并主要用于横向移动阶段,根据编译时间可能发生在9月初。

安全研究人员披露的另外的Dtrack变种样本,我们并不能确认其和核电厂被攻击活动的关联性,由于其存在外连行为和控制功能,其可能用于攻击立足阶段。我们推测攻击组织开发了一套完整攻击框架,并按需编译和行动。

从相关样本技术中,存在比较明显的和历史Lazarus组织使用的攻击样本的指纹特征,背后的攻击组织归属还有待更多的证据支持。

由于目前暂时没有更多证据,奇安信威胁情报中心红雨滴团队将继续持续跟踪该事件的发展并为我们所服务的类似客户提供检测支持,有需要的话可以联系奇安信威胁情报中心。

new_i = (ord(seed[j%seedlen]) + new_i + GetArrayElement(AR_LONG, seed_arr, j)) 0xff;

ii=(GetArrayElement(AR_LONG, seed_arr, v6)+GetArrayElement(AR_LONG, seed_arr, v7))

SetArrayLong(result_arr, i, (Byte(srcaddr+2+i) ^ GetArrayElement(AR_LONG, seed_arr, ii)) 0xff);

Message((Byte(srcaddr+2+i) ^ GetArrayElement(AR_LONG, seed_arr, ii)) 0xff);

版权保护: 转载请保留链接: http://lefkosaemlak.com/web/59.html