作者:知道创宇404积极防御实验室
时间:2021年1月7日
1.背景
近日,知道创宇404积极防御实验室通过“知道创宇安全大脑-业务安全舆情监测平台”监测到土耳其黑客组织“图兰军”近期攻击活动频繁,攻击量呈上升趋势,并且该组织攻击活动在元旦节以后更加活跃。
该组织是2019年12月22日成立的土耳其反华黑客组织,并大力支持东突分裂势力,同时针对中国境内政府、教育等类别网站进行攻击。早在2019年该组织刚成立时,知道创宇404积极防御实验室就已开始监测其动向;其成立当日,一名昵称为 “Yakamoz1319” 的组织成员就在黑客论坛 “turkhackteam” 上发帖煽动土耳其黑客针对我国境内网站发起攻击,以实际行动表明对“东突厥斯坦”的支持。该组织发布的恶意攻击活动公告原文如下:
在这篇土耳其文的帖子当中,攻击者传达了其针对中国网站发动恶意攻击的意图:“对中国的攻击已经开始!朋友们,你们都在关注议程。不幸的是,中国在东突厥斯坦对维吾尔族土耳其人的不人道折磨已使人们陷入冷血的境地。我们不会保持沉默。最近成立并于今天(2019/12/22)宣布成立的图兰军已将中国作为第一个目标。截至目前,所有中文站点都是我们自由攻击的目标。每个人都应该参与攻击活动,无论是团队领导还是普通成员。”
通过知道创宇业务安全舆情监测平台统计,在2019年12月内图兰军等土耳其黑客组织组织共计入侵中国境内网站达百余个,其中不乏高等院校和科研单位
2.数据监测分析
据创宇安全大脑业务安全舆情监测平台的数据统计,目前已有21个高校和27个事业单位网站被尝试攻击,且部分网站被植入黑页。
该组织主要通过访问/tr.php,/tr.html等URL的手段来探测网站是否被攻击成功,以下为云防御安全大数据平台捕获到的部分探测日志和该组织公布的被攻击探测的境内网站,捕获的样本如下:
经对过去一周内云防御安全大数据平台的数据分析,该黑客组织长期对中国境内网站进行持续的扫描渗透活动,过去一周内总共收到来自该组织的攻击探测7,532次。攻击趋势如下:
每天的探测数趋势如下:
每天被探测的网站数量也在持续增长:
根据云防御安全大数据平台统计的攻击趋势来看,目前该组织的攻击活动较频繁,且呈现上升趋势。目前临近年底,正是“港独”、“藏独”、“东突”这类反动势力活跃的时期,本次攻击试探的目标基本均为国家关键信息基础设施单位,这类单位应该更加提高警惕做好网站防护工作(具体被攻击网站列表见附件“【2021-t82937c号】土耳其黑客组织“图兰军”近期攻击试探业务系统及网站汇总.xls”)。
目前探测攻击的高度可疑部分IP如下:
| 序号 | IP | 地理位置 | 攻击次数 |
|---|---|---|---|
| 1 | 31.200.10.145(Zoomeye搜索结果) | 土耳其 | 472 |
| 2 | 154.222.122.74(Zoomeye搜索结果) | 美国 | 318 |
| 3 | 172.247.185.66(Zoomeye搜索结果) | 美国 | 292 |
| 4 | 172.247.242.186(Zoomeye搜索结果) | 美国 | 265 |
| 5 | 156.238.102.30(Zoomeye搜索结果) | 中国香港 | 239 |
| 6 | 192.151.219.162(Zoomeye搜索结果) | 美国 | 212 |
| 7 | 23.224.20.146(Zoomeye搜索结果) | 美国 | 186 |
| 8 | 154.215.192.2(Zoomeye搜索结果) | 香港 | 186 |
| 9 | 45.199.94.194(Zoomeye搜索结果) | 香港 | 186 |
| 10 | 45.120.80.58(Zoomeye搜索结果) | 香港 | 186 |
3.国内攻击情况展示
案例1,襄阳金语网络有限公司网站
襄阳金语网络有限公司网站( http://joc.ocxd.cn/ 备案号:鄂ICP备14019581号-2) 被黑客入侵,首页被篡改。且该公司以下其他23个子域名也被成功攻击。
案例2,中蒜仓储有限责任公司
中蒜仓储有限责任公司网站(http://wm.cggls.cn备案号:鲁ICP备17029645号-1)被黑客入侵,首页被篡改。且该公司其他15个子域名也被成功攻击。
案例3,四川巴中党建网
经分析该网站为四川巴中党建网(http://www.bzswzzb.gov.cn/),该网站存在目录遍历问问题。
4.攻击组织分析
该组织成员在还在Twitter上发布“东突”相关言论,并贴出被黑的中国网站,如下:
该组织成员长期活跃于土耳其黑客论坛(https://www.turkhackteam.org):
该组织长期通过该论坛交流对中国境内网站的攻击成果,以及发布被黑网站等信息
5.总结及建议
从当前来看,多数被黑的站点均属于安全防护程度不高或缺乏长期维护的网站,此类网站在持续不断的高强度境外攻击面前存在有巨大的安全隐患。
知道创宇404积极防御实验室结合“知道创宇安全大脑”中的“业务安全舆情监测平台”和“云防御安全大数据平台”等平台的数据进行了综合分析,预测本次攻击活动会持续到本月底前后,各单位须注意防范,建议:
1、 关注近期境外IP攻击趋势,可封禁攻击IP列表中境外IP,及时做好网站安全防护措施;
2、 例如增加设备的安全策略、使用第三方Web应用防火墙(如:创宇盾)等加强防护。
3、 网站负责人应定期对重点业务站点可能存在的安全隐患进行排查,做好站点的安全保障工作;
4、 重点关注来自土耳其地区的异常访问或疑似攻击状况,持续追踪境外黑客组织的威胁行为,谨防站点入侵事件的发生。
针对创宇盾客户可做以下建议配置防护策略:
1、 开启防黑锁,避免关键资源受篡改而影响页面;
2、 开启后台锁,对于网站后台登录进行严格管控;
3、 提升协同防御等级,屏蔽政府、教育文化类的境外高危IP;
4、 做好网站自身安全检查,及时更新漏洞等相关补丁,避免被入侵;
5、 开启弱口令防护,对登录和注册接口上出现的弱口令事件进行检测或拦截;
6、开启区域访问控制禁止土耳其IP访问相关业务系统。
6.附:IOC
相关恶意IP:
121.8.190.250(Zoomeye搜索结果)
154.222.122.74 (Zoomeye搜索结果)
172.247.185.66 (Zoomeye搜索结果)
172.247.242.186 (Zoomeye搜索结果)
156.238.102.30(Zoomeye搜索结果)
192.151.219.162(Zoomeye搜索结果)
23.224.20.146(Zoomeye搜索结果)
154.215.192.2(Zoomeye搜索结果)
45.199.94.194(Zoomeye搜索结果)
45.120.80.58(Zoomeye搜索结果)
31.200.10.145(Zoomeye搜索结果)
其他相关信息:
1、组织相关论坛:
https://www.turkhackteam.org/tht-govde-gosterisi/index2.html
2、部分成员的twitter账号:
@SultanATSIZ_THT
@Official_THT
@ZoRRo_KiN
@ch_ali41
@qenzai
@Yakamoz1319
@YunusHesyinYId7
@AYTnobetteTR
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1447/