Leafminer组织主要利用公开的漏洞技术和工具发起攻击，通过水坑攻击、互联网上的网络服务漏洞扫描、暴力破击、词典登陆等入侵技术入侵目标网络。入侵后的使用的工具集表明该组织从被黑的目标系统中窃取Email数据、文件和数据库服务器等。

图1. Leafminer攻击概览

Leafminer’s arsenal

调查期间，研究人员发现了Leafminer与其他针对中东的攻击的关联。通过恶意软件payload的下载URL找出了e-qht.az域名上被黑的web服务器，用来传播arsenal恶意软件、payload和其他攻击工具。

2018年6月初，该服务器上在子目录中保存了112个可以通过公开的web shell访问的文件。除了恶意软件和工具外，服务器上的文件还包括来自漏洞扫描和其他被黑后使用的工具的日志文件。该web shell是在PhpSpy后门的基础上修改的。

攻击目标

在对Leafminer组织的调查期间，研究人员从不同来源收集了目标的简介。其中一个目标信息源是攻击者通过漏洞扫描发现的含有809个目标的列表。下图是Symantec发现的Leafminer在中东的4个区域的44个系统中使用的恶意软件和工具。

图2. 每个区域感染的计算机数量

该列表上攻击的区域包括Saudi Arabia, United Arab Emirates, Qatar, Kuwait, Bahrain, Egypt, Israel, Afghanistan。下图是攻击的行业分类。

图3. Leafminer攻击的行业分类

入侵

研究人员发现Leafminer主要使用三种技术对目标网络进行入侵：

· 对web服务器进行水坑攻击；

· 扫描网络服务中的漏洞和利用；

· 对未来服务的登陆用户名和密码进行词典攻击。

IOC表明攻击者还使用了含有恶意附件的邮件钓鱼攻击技术，但还没有发现直接的证据。

水坑攻击窃取SMB身份凭证

对Leafminer的调查分析始于中东多个被黑的网站上的JS代码。攻击者对恶意代码混淆后再植入用于窃取SMB身份凭证哈希值，以便于随后线下的暴力破解。

浏览器在执行恶意代码时，会创建一个不可见的image标签，并设定到攻击者服务器的URL使用file:// 的协议方案。在windows机器上，这会触发一个通过SMB协议到远程服务器的请求，而SMB协议会传输用户的登陆身份凭证（NTLM哈希值）。攻击者通过暴力破解、词典、彩虹表等方式破解NTLM哈希值破解后就可以提取出原始的login密码。

表1是用于水坑攻击的被黑站点、感染JS的URL和收集NTLM哈希的SMB URL

表1. 水坑网站详情

2017年的Dragonfly威胁单元的水坑攻击也使用了同样的技术。

漏洞扫描和利用

Leafminer间谍组织使用了可用的工具、研究和其他威胁单元的已有工作。其中包括2017年4月Shadow Brokers使用的Fuzzbunch框架，同时Leafminer也开发了通过SMB漏洞传播传统恶意软件的框架（表2），其运营者还使用EternalBlue来从被黑的服务器进入目标网络。

Symantec还发现Leafminer尝试从攻击者控制的IP地址来扫描心脏出血漏洞（CVE-2014-0160），Leafminer arsenal服务器还有扫描该漏洞的python脚本。

词典攻击

Leafminer使用的另一种攻击方法就是词典攻击，即用特定的工具去猜测目标系统暴露的服务的登陆密码。这种攻击是通过Leafminer搭建的特定服务器和黑掉的其他服务器完成的。与工具THC Hydra一起的zip文件中的readme文件中的命令表示针对Saudi Arabia地方政府的exchange和远程桌面服务的在线词典工具。在线是指攻击者使用目标网络服务的协议快速进行密码猜测。

自定义的恶意软件

Symantec分析发现Leafminer组织使用两类自定义的恶意软件，分别是Trojan.Imecab和Backdoor.Sorgu。与该恶意软件直接训练的是许多反射性加载器DLL，这些DLL有的是dropper，有的是为了在被黑的系统上执行特定的命令。

Leafminer对自定义恶意软件和其他工具的开发主要采用.net框架，研究人员还发现，攻击者会在被入侵的设备上下载和安装.net框架，原因可能是攻击者远程访问系统来运行自定义的工具需要.net环境的支持。该组织维护的C2服务器上就有合法的Microsoft .NET Framework 2.0 SP2安装包。

Backdoor.Sorgu

Backdoor.Sorgu是攻击者用来给受感染的机器提供远程访问权限的后门，会通过shell命令脚本以服务的形式安装在Windows系统中。

Trojan.Imecab

Trojan.Imecab是硬编码的密码在目标机器上设置一个永久的远程访问账户。该恶意软件的变种有guester.exe，功能是给系统中加入特权guest账户。恶意软件会以Windows服务的形式安装在系统中来达到驻留的目的，并且可以确保guest账户对攻击者是可用的。

反射型loader DLLs

表2是反射性loader DLL和作用：

表2. 反射性 loader DLLs

这些DLL看起来是Fuzzbunch框架的利用shell code的payload，这可以通过潜入的PDB字符串得到佐证。

数据窃取

域名e-qht.az上存有用于攻击的恶意软件和工具，攻击者利用这些工具在初步入侵目标为了之后可以进行特别的攻击步骤。表3是该组织用于信息收集和窃取的工具集。

表3. 用于信息收集和窃取的工具集

研究人员发现Leafminer很多被黑的服务器都用作分阶段的系统来在目标网络中立足，然后对内部网络中的资源进行攻击。比如，使用THC Hydra来执行对Exchange登陆执行词典攻击的过程刚入侵的时候和入侵之后都会进行。

图4是Leafminer后期使用的Total SMB BruteForcer工具截图，该工具需要含有IP列表、用户、密码的输入文件。

图4. Total SMB BruteForcer

Arsenal服务器上存放有5个文本文件，是Leafminer使用Total SMB Bruteforcer和THC Hydra词典攻击的输入。

OrangeTeghal和Process Doppelgänging

Leafminer组织使用的自定义工具只是给Mimikatz工具换了个名字。

图5. OrangeTeghal

Logo和命令都与原始的工具是一样的，只是把名字改成了OrangeTeghal。为了避免被安全软件查杀，攻击者使用了Process Doppelgänging技术（Black Hat EU ‘17中提出的）。恶意软件文件orange64.exe是一个.net框架的可执行文件，会释放和执行经过混淆的power shell脚本。在解混淆后，该脚本会集合其他作者开发的代码。Process Doppelgänging用NTFS食物来修改看起来是真实进程的可执行文件。

保护措施

基于文件的保护

· Backdoor.Sorgu

· Trojan.Imecab

最佳实践

· 密码。重要密码长度应该至少是8-10个字符，复杂度至少应该满足字母和数字的组合。用户在不同的网站上应尽量使用不同的密码，密码再不同网站之间共享密码。删除不用的身份凭证，限制管理级用户的数量。使用双因子认证来增强安全性，繁殖攻击者使用被窃的身份凭证。

· 使用多个、重叠的、互相支撑的防护系统来防止单点失效的情况。包括定期更新防火墙、网关、入侵检测和防护系统（IPS），恶意软件防护的网站漏洞，web安全网管解决方案等。

· 敏感数据在传输和存储时应强制实施安全策略。确保用户数据加密，这款有帮助缓解数据泄露带来的潜在危害。

· 在网络边界设备上实施SMB流量过滤，防止SMB流量离开内网进入互联网。

· 对员工进行钓鱼攻击等的培训，提供员工安全意识。

· 了解攻击者使用的工具、技术和过程，进行有针对性的防护。