一个黑客组织的7年黑历史终因太嘚瑟被扒了出来
自2013年以来 , 世界各国政府的许多官方网站都遭到了黑客的攻击和破坏 , 攻击者自称是“VandaTheGod” 。
黑客的目标是许多国家的政府 , 包括:巴西、多米尼加共和国、特立尼达和多巴哥、阿根廷、泰国、越南和新西兰 。 这些被攻击的网站上留下的许多信息暗示 , 攻击是出于反政府情绪的动机 , 是为了打击社会不公 , 黑客认为这些不光是政府腐败的直接结果 。
尽管网站的丑化给了VandaTheGod很多关注 , 但攻击者的活动不仅限于此 , 还包括窃取信用卡信息和泄露敏感的个人信息 。
然而 , 通过仔细研究这些攻击 , 我们能够绘制出VandaTheGod多年来的活动图 , 并最终发现攻击者的真实身份 。
被VandaTheGod攻击的网站
高调的社交媒体活动
这个“VandaTheGod”角色背后的组织过去曾使用了多个别名 , 比如“VandadeAssis”或“SH1N1NG4M3” , 并且在社交媒体(尤其是Twitter)上非常活跃 。 他们通常会与公众分享这些黑客努力的结果:
文章图片
遭到攻击的巴西政府网站 , 如攻击者的Twitterfeed所示
有时甚至会将此Twitter帐户的链接添加到VandaTheGod在受感染网站上留下的消息中 , 从而确认此配置文件确实由攻击者管理 。
文章图片
描述VandaTheGod的Twitter帐户的受感染网站
这个账号里的很多推文都是用葡萄牙语写的 , 此外 , 攻击者声称自己是“巴西网络军队”或“BCA”的一部分 , 经常在被盗账户和网站的截图中显示BCA的标识 。
文章图片
VandaTheGod与“巴西网络军队”的关系
是社会极端主义还是黑客行为?
VandaTheGod不仅攻击政府网站 , 还攻击公众人物、大学、甚至医院 。 在其中一起案件中 , 攻击者声称可以获得100万名新西兰患者的医疗记录 , 这些记录以200美元的价格出售 。
文章图片
VandaTheGod声称可以访问新西兰基层卫生组织的数据
尽管公开的黑客活动报道有时可能阻止攻击者追捕新目标 , 但令人奇怪的是 , 此人似乎很受关注 , 并且经常对有关VandaTheGod成就的报道感到自豪 。 他们甚至将一些媒体报道视频上传到VandaTheGodYouTube频道 。
文章图片
攻击者自我吹嘘的媒体报道
大多数VandaTheGod对政府的攻击都是出于政治动机 , 但仔细查看一些推特 , 就会发现攻击者也在试图把个人作为攻击目标:总共入侵5000个网站 。
文章图片
VandaTheGod宣布的5000个网站被黑的目标
根据zone-h记录(一个记录恶意网站事件的服务) , 这个目标几乎达到了 , 因为目前有4820个与VandaTheGod有关的被黑网站记录 。 尽管这些网站中的大多数都是通过大规模扫描互联网上的已知漏洞而被黑客入侵的 , 但列表中还包括众多政府和学术网站 , VandaTheGod似乎是故意选择的 。
文章图片
在Zone-H中被入侵的记录
VandaTheGod的隐藏术
VandaTheGod在多个黑客团体中的主要作用以及对公众的热爱 , 意味着他们通过众多的社交媒体帐户 , 备用帐户(如被删除) , 电子邮件地址 , 网站等等 , 与黑客社区中的其他人保持联系 。 多年来 , 这个活动留下了大量的信息 , 这些信息为我们的研究提供了帮助 。
文章图片
VandaTheGod宣传的电子邮件联系信息
例如 , VandaTheGod[.]com的WHOIS记录显示 , 该网站是由一个来自巴西的人注册的 , 更确切地说 , 是来自Uberlandia , 使用的是电子邮件地址fathernazi@gmail[.]com 。 碰巧的是 , 过去VandaTheGod声称自己是UGNazi黑客组织的成员 。
文章图片
VandaTheGod[.]comWHOIS信息
这个电子邮件地址被用来注册其他网站 , 如braziliancyberarmy[.]com:
文章图片
由fathernazi@gmail.com注册的其他域
然而 , 这并不是唯一一个由VandaTheGod在网上分享的关于攻击者身份的有价值的信息 。 例如 , 下面的截图显示了巴西女演员兼电视节目主持人米里安·里奥斯被泄露的电子邮件账户:
文章图片
米里安·里奥斯在VandaTheGod的Twitterfeed上的受感染帐户的屏幕截图
然而 , 这张截图也显示了一个名为“VandaDeAssis”的Facebook选项卡 , 查找这个名字后 , 我们找到了一个属于攻击者的个人资料:
文章图片
【一个黑客组织的7年黑历史终因太嘚瑟被扒了出来】VandaDeAssis的Facebook账号
在对iOS数字取证和事件响应(DFIR)进行例行调查之后 , 研究人员发现了一些可疑事件 , 这些事件早在2018年1月就影响了iOS上的默认邮件应用程序 。 研究人员分析了这些事件 , 发现了一个影响苹果iphone和ipad的可利用漏洞 。 ZecOps在很长一段时间内 , 在企业用户、vip和mssp上检测到该漏洞的多个触发器 。
该漏洞的攻击范围包括向受害者的邮箱发送自定义电子邮件 , 使其能够在iOS12上的iOSMobileMail应用程序或在iOS13上发送的邮件中触发该漏洞 。
几乎没有可疑事件包括黑客通常使用的字符串(例如414141…4141) , 经过确认 , 我们验证了这些字符串是由电子邮件发送者提供的 。 值得注意的是 , 尽管有证据显示证实了受攻击者的电子邮件是由受害者的iOS设备接收和处理的 , 但本应接收并存储在邮件服务器上的相应电子邮件却丢失了 。 因此 , 我们推断这些电子邮件可能已被有意删除 。
我们知道从2018年1月开始在iOS11.2.2上发生了多个触发事件 , 当前 , 攻击者可能正在滥用这些漏洞 , 详情请点此 。 在研究触发这些漏洞的过程中 , 我们已经看到一些可疑受害者之间的相似之处 。
受影响的版本:1.所有经过测试的iOS版本都容易受到攻击 , 包括iOS13.4.1;2.根据我们的发现 , 这些漏洞都是在iOS11.2.2或更高版本上主动触发的;3.iOS6及更高版本容易受到攻击 , iOS6于2012年发布 , iOS6之前的版本可能也会受到攻击 , 但我们尚未检查较早的版本 。 因为在iOS6发行时 , iPhone5已上市 。
研究人员发现 , MIME库中MFMutableData的实现缺少对系统调用ftruncate()的漏洞检查 , 该漏洞导致越界写入 。 我们还找到了一种无需等待系统调用ftruncate失败即可触发OOB-Write的方法 。 此外 , 我们发现了可以远程触发的堆溢出 。 众所周知 , 这两种漏洞都是可以远程触发的 。 OOB写入漏洞和堆溢出漏洞都是由于相同的漏洞而引发的 , 即未正确处理系统调用的返回值 。 远程漏洞可以在处理下载的电子邮件时触发 , 在这种情况下 , 电子邮件将无法完全下载到设备上 。
受影响的库:/System/Library/PrivateFrameworks/MIME.framework/MIME;易受攻击的函数:-[MFMutableDataappendBytes:length:] 。 利用漏洞后的异常行为 , 除了手机邮件应用暂时放缓外 , 用户观察不到任何其他异常行为 。 在iOS12上尝试利用漏洞(成功/失败)之后 , 用户只会注意到邮件应用程序突然崩溃 。 在iOS13上 , 除了暂时的速度下降之外 , 这不会引起注意 。 如果随后进行另一次攻击并删除电子邮件 , 则失败的攻击在iOS13上不会明显 。
在失败的攻击中 , 攻击者发送的电子邮件将显示消息:“此消息无内容 。 ”崩溃取证分析 , 用户经历的部分崩溃(多次崩溃中的一部分)如下;崩溃的指令是stnpx8 , x9 , [x3] , 这意味着x8和x9的值已被写入x3并由于访问存储在x3中的无效地址0x000000013aa1c000而崩溃 。 为了找出导致进程崩溃的原因 , 我们需要看一下MFMutableData的实现 。 下面的调用树是从崩溃日志中提取的 , 只有选定的一些设备才会发生崩溃 。 通过分析MIME库 , -[MFMutableDataappendBytes:length:]的伪代码如下:在崩溃发生之前执行以下调用堆栈:如果数据大小达到阈值 , 则使用文件存储实际数据 , 当数据更改时 , 应相应更改映射文件的内容和大小 , 系统调用ftruncate()被inside-[MFMutableData_flushToDisk:capacity:]调用以调整映射文件的大小 。 ftruncate的帮助文档是这样说明的:如上所示 , 如果调用失败 , 则返回-1 , 并且全局变量errno指定漏洞 。 这意味着在某些情况下 , 此系统调用将无法截断文件并返回漏洞代码 。 但是 , 在ftruncate系统调用失败时 , _flushToDisk无论如何都会继续 , 这意味着映射的文件大小不会扩展 , 执行最终会到达appendBytes()函数中的memmove() , 从而导致mmap文件出现超出边界(OOB)的写入 。
推荐阅读
- 巴西天才初绽放!维尼修斯会成为银河战舰的下一个巨星吗?
- 周星驰|不会再出现下一个周星驰
- 特朗普|特朗普:将赦免“非常重要”的一个人,但不是斯诺登或弗林
- 徐俊|高考遇洪水,交警铁骑送 一个景德镇考生的“国宾待遇”
- 情感冷金葵说美食|让黄渤、宋祖儿泪奔的80岁奶奶:一辈子这么长,只爱一个人值吗?
- 轻风细雨|一个家庭走向兴旺的三个征兆,有一个,就很了不起!
- 李湘,一个职场女精英的家庭困局
- 女人不管有多爱一个男人,都请坚守住这最后的3条底线
- 漫游|DNF手游鬼泣和漫游哪一个更强 平民选哪一个职业最好
- 央视新闻客户端|世卫组织:全球新增250285例新冠肺炎确诊病例