這篇文章給大家分享的是有關(guān)Turla組織指的是什么的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

Turla組織概述

Turla，又名Snake，Uroburos，Waterbug，WhiteBear。由GData在2014年披露后，卡巴斯基、賽門鐵克、ESET持續(xù)對(duì)該組織進(jìn)行追蹤和分析。根據(jù)該組織使用的惡意文件的編譯時(shí)間，最早可以追溯到2011年。通過對(duì)代碼及功能對(duì)比，可以追溯到2006年檢測(cè)名稱為Agent.BTZ的惡意文件與該組織有關(guān)聯(lián)。因此可以推測(cè)出該組織早在2006年就已經(jīng)開始進(jìn)行攻擊。

Turla組織使用了rootkit技術(shù)對(duì)計(jì)算機(jī)進(jìn)行監(jiān)控，完成數(shù)據(jù)竊取功能。這個(gè)方法在Windows早期版本的系統(tǒng)中非常實(shí)用，可以有效隱藏在計(jì)算機(jī)中，擁有較高權(quán)限。從Windows vista開始，微軟加強(qiáng)了對(duì)第三方驅(qū)動(dòng)加載過程的控制，需要獲取證書并由用戶同意才可以正常安裝。因此Turla組織轉(zhuǎn)而使用更復(fù)雜的侵入過程并植入不帶rootkit套件的遠(yuǎn)控軟件對(duì)信息進(jìn)行采集，但這增大了被發(fā)現(xiàn)的幾率。

Turla組織攻擊目標(biāo)包括政府機(jī)構(gòu)、使館、軍事機(jī)構(gòu)、教育機(jī)構(gòu)、研究機(jī)構(gòu)和制藥公司。最初在攻擊美國(guó)情報(bào)部門后被披露。近幾年，該組織攻擊了德國(guó)外交部，法國(guó)軍隊(duì)相關(guān)公司的服務(wù)器，竊取了大量的情報(bào)信息。

對(duì)Turla組織使用的惡意軟件進(jìn)行分析后，總結(jié)出以下信息：

1、攻擊者在編寫惡意軟件時(shí)輸出的debug信息是英文，但不是母語；

2、攻擊者的基礎(chǔ)設(shè)施來源于俄羅斯；

3、攻擊者使用的默認(rèn)語言為俄語；

4、Agent.BTZ中也出現(xiàn)了類似的痕跡。

因此，將其定為來源于俄羅斯的威脅攻擊組織。

Turla組織入侵手法

Turla組織撕開防御設(shè)備的方法是通過運(yùn)用社會(huì)工程學(xué)手段的魚叉攻擊以及水坑攻擊來完成。

2.1 社會(huì)工程學(xué)攻擊

在最初被發(fā)現(xiàn)的攻擊過程中，攻擊者使用了帶有漏洞的PDF文件，并通過電子郵件進(jìn)行投遞。通過社會(huì)工程學(xué)誘導(dǎo)用戶點(diǎn)擊執(zhí)行該P(yáng)DF文件，并發(fā)送給同事或職位更高的人員。同時(shí)，附件中也存在“.SCR”擴(kuò)展名的惡意軟件安裝程序，在安裝時(shí)釋放RAR文件并打開內(nèi)置的正常PDF文件。

圖 正常的PDF文件

與此類似的攻擊手法伏影實(shí)驗(yàn)室在4月發(fā)布的疫情攻擊相關(guān)的文章也有詳細(xì)分析。

2.2 水坑攻擊

2010-2016年間，該組織始終利用瀏覽器進(jìn)行攻擊，包括水坑攻擊以及0day漏洞。攻擊者對(duì)攻擊網(wǎng)站植入下圖中標(biāo)識(shí)出來的惡意JavaScript腳本，當(dāng)用戶訪問被攻陷的網(wǎng)站時(shí)，即執(zhí)行該JavaScript腳本。

經(jīng)過整理，我們獲取了所有的曾經(jīng)被攻擊過的網(wǎng)站及其名稱：

上述網(wǎng)站在14-17年間被用作水坑攻擊的站點(diǎn)，這些站點(diǎn)被嵌入了JavaScript代碼，在用戶訪問的時(shí)候執(zhí)行，其功能大多為獲取瀏覽器的插件列表，屏幕分辨率等信息。同時(shí)，Turla在進(jìn)行攻擊時(shí)會(huì)主動(dòng)選擇他們感興趣的用戶，下發(fā)惡意文件，而最為重要的一種形式是利用假的Adobe Flash安裝包安裝后門。

Turla比較有特點(diǎn)的攻擊方式是利用Adobe進(jìn)行攻擊誘騙，這種結(jié)果也與捕獲的方向有關(guān)，相當(dāng)一部分政府的網(wǎng)站在建設(shè)成型以后，很少會(huì)快速迭代更新，使用更加先進(jìn)的體系結(jié)構(gòu)，而Adobe Flash這個(gè)存在大量漏洞的插件已經(jīng)深度的整合在這些網(wǎng)站中。因此，在捕獲相關(guān)威脅時(shí)，與Adobe Flash相關(guān)的攻擊從未缺席。

2.3 MITM流量劫持與修改

Turla組織在進(jìn)行攻擊時(shí)，通過MITM（中間人攻擊）來劫持Adobe的網(wǎng)絡(luò)，使得用戶在請(qǐng)求下載最新的軟件更新包時(shí)，替換用戶的下載內(nèi)容，在用戶無感的情況下下載惡意軟件，并完成對(duì)目標(biāo)主機(jī)的控制。但此種方式需要獲取核心路由的權(quán)限，甚至需要針對(duì)企業(yè)/政府的關(guān)鍵節(jié)點(diǎn)進(jìn)行劫持。

但是在用戶側(cè)觀察到的攻擊過程則顯得非常簡(jiǎn)單，例如用戶訪問以下鏈接，該鏈接歸屬于Adobe公司，是Adobe的子域名，http://admdownload.adobe.com/ bin/live/flashplayer27_xa_install.exe，通過此鏈接下載Turla的惡意文件，但是該請(qǐng)求的http頭中的referer字段被更改成了：

http://get.adobe.com/flashplayer/download/?installer=Flash_Player,這個(gè)地址與正常下載Adobe的域名相同，協(xié)議不同。分析認(rèn)為，這里是為了繞過Adobe檢測(cè)機(jī)制而插入的referer信息，以便于能夠正常訪問到admdownload.adobe.com。

Turla攻擊技術(shù)梳理

ATT&CK矩陣

Turla組織常用RAT簡(jiǎn)析

在侵入內(nèi)部網(wǎng)絡(luò)后，Turla組織會(huì)對(duì)目標(biāo)進(jìn)行篩選，挑選出感興趣的，具有高價(jià)值信息的目標(biāo)，并在感染設(shè)備上投放惡意軟件。從2011年起至今，Turla被發(fā)現(xiàn)針對(duì)Windows、Linux、MacOS平臺(tái)均開發(fā)了對(duì)應(yīng)的惡意軟件，持續(xù)竊取機(jī)密信息。

4.1 第一階段后門——The Epic

該后門會(huì)對(duì)環(huán)境進(jìn)行檢測(cè)和處理，通過識(shí)別一些網(wǎng)絡(luò)監(jiān)測(cè)工具來判斷是否可以執(zhí)行，包括：tcpdump.exe、windump.exe、ethereal.exe、wireshark.exe、dsniff.exe。在與C2進(jìn)行通信則采用了HTTP協(xié)議，通過對(duì)<div>something</div>格式的內(nèi)容進(jìn)行解析，來獲取C2下發(fā)的指令。

該后門用ID來對(duì)受害者進(jìn)行標(biāo)記，在第一次進(jìn)行通信時(shí)，會(huì)發(fā)送帶有計(jì)算機(jī)信息的數(shù)據(jù)包到C2，并且使用加密算法對(duì)發(fā)送內(nèi)容進(jìn)行加密，但是攻擊者將密鑰也通過這一方式進(jìn)行傳輸，因此可以對(duì)流量進(jìn)行解密分析。

當(dāng)Turla組織根據(jù)回傳信息判斷出目標(biāo)值得進(jìn)行更進(jìn)一步的攻擊時(shí)，攻擊者才會(huì)將第二階段的后門部署在目標(biāo)設(shè)備上。可以將第一階段后門理解為Turla組織的攻擊試探，這種方式能夠有效的避免將Uroburos下載到無關(guān)設(shè)備上，減少暴露風(fēng)險(xiǎn)。

4.2 第二階段后門——Uroburos

Uroburos是最為出名的一個(gè)后門，在Turla第一次被發(fā)現(xiàn)時(shí)，從被攻陷設(shè)備中提取出來的一個(gè)rootkit后門。攻擊者在使用該后門時(shí)，同時(shí)也在使用一個(gè)加密的虛擬文件系統(tǒng)，以此來確保自己的攻擊活動(dòng)隱秘且高效。

Uroburos通過創(chuàng)建服務(wù)來保證自身能持續(xù)駐留在系統(tǒng)中，在注冊(cè)表中可以找到如下鍵值信息：

HKLM\System\CurrentControlSet\Services\Ultra3

Uroburos的主要功能如下：

l 關(guān)鍵函數(shù)hook

l 解密虛擬文件系統(tǒng)

l 注入Ring3層

l C&C通信

l 數(shù)據(jù)包抓取

Inline hook

Uroburos采用Inline hook的方式對(duì)關(guān)鍵函數(shù)進(jìn)行修改，如：

對(duì)ZwQueryKey(), ZwEnumerateKey(), ZwCreateKey() 和 ZwSaveKey()函數(shù)hook，目的是為了隱藏在注冊(cè)表中增加的持續(xù)駐留用的鍵。

對(duì)ZwReadFile()函數(shù)hook，是為了隱藏自身文件。

對(duì)ZwQuerySystemInformation()函數(shù)hook，是為了隱藏驅(qū)動(dòng)對(duì)象。

對(duì)ZwTerminateProcess()函數(shù)hook，是為了在停止工作時(shí)對(duì)環(huán)境進(jìn)行清理，避免藍(lán)屏等問題出現(xiàn)。

對(duì)ObOpenObjectByName()函數(shù)hook，是為了隱藏虛擬文件系統(tǒng)。

部分hook函數(shù)列表

解密文件系統(tǒng)

Uroburos提供了NTFS和FAT32兩種虛擬文件系統(tǒng)以適應(yīng)不同情況的設(shè)備，通過該虛擬文件系統(tǒng)，攻擊者可以在系統(tǒng)中存放竊取的數(shù)據(jù)，黑客工具抑或是需要輸出的運(yùn)行日志信息，而通過對(duì)內(nèi)核函數(shù)的hook，也避免了被殺軟找到該虛擬文件系統(tǒng)，從而提高了隱蔽性，同時(shí)，因不會(huì)占用系統(tǒng)磁盤，在用戶側(cè)的感知幾乎為0。

該虛擬文件系統(tǒng)使用CAST-128進(jìn)行加密，密鑰硬編碼在驅(qū)動(dòng)文件中，在驅(qū)動(dòng)掛載運(yùn)行時(shí)進(jìn)行解密，解密后，該文件系統(tǒng)中存放.bat腳本，該腳本通過使用net命令進(jìn)行內(nèi)網(wǎng)機(jī)器發(fā)現(xiàn)，獲取局域網(wǎng)中機(jī)器的基礎(chǔ)信息以供橫向移動(dòng)時(shí)使用。

在文件系統(tǒng)中還有一個(gè)隊(duì)列文件，每一個(gè)隊(duì)列文件中都包含一個(gè)uid、類型、時(shí)間戳和載荷，載荷還包括一個(gè)用于解密的key。根據(jù)GDATA捕獲的其他文件的分析，可能還包括配置文件，文件等信息。

數(shù)據(jù)包抓取

Uroburos支持對(duì)流量進(jìn)行抓取，對(duì)數(shù)據(jù)包進(jìn)行修改和攔截。可以處理HTTP，ICMP，SMTP協(xié)議流量，可以通過命名管道獲取應(yīng)用層傳輸?shù)男畔ⅰ?/p>

同時(shí)，攻擊者預(yù)留了接口用于增加新的協(xié)議和新的方法來對(duì)流量進(jìn)行處理，攻擊者通過對(duì)虛擬文件系統(tǒng)中包含的文件進(jìn)行更新來達(dá)到持續(xù)攻擊的目的。

C&C通信

Uroburos提供tcp、enc、np、reliable、frag、udp、m2d、doms、t2m、domc通信方式。在代碼中可以看到np，reliable，frag，enc，m2b，m2d是通過NamedPipe進(jìn)行通信。tcp，udp都是在驅(qū)動(dòng)層構(gòu)造數(shù)據(jù)包進(jìn)行通信。

4.3 第二階段后門——Carbon

攻擊者在入侵的初期會(huì)判斷被攻擊目標(biāo)的價(jià)值，在引起攻擊者的興趣后，攻擊者會(huì)將Carbon后門植入到設(shè)備中。Carbon是一個(gè)模塊化的工具，通過替換不同的插件來實(shí)現(xiàn)對(duì)應(yīng)功能。

在初期捕獲的Carbon樣本中，其插件模塊被放置在資源段中，其中最主要的模塊是一個(gè)叫做carbon_system.dll的模塊，該模塊存在2個(gè)導(dǎo)出函數(shù)，ModuleStart和ModuleStop。在ModuleStart函數(shù)中，會(huì)創(chuàng)建多個(gè)互斥體用于區(qū)分不同的模塊單元，并在System\\目錄下創(chuàng)建log文件，用于記錄執(zhí)行過程中產(chǎn)生的debug信息。

carbon_system.dll作為主功能模塊，會(huì)創(chuàng)建windows命名管道用于其他模塊間的通信，接收其他功能模塊獲取的信息，并將其寫入文件中，等待上傳。carbon_system.dll通過GetDiskFreeSpaceExA獲取磁盤信息，用于監(jiān)視磁盤使用情況，當(dāng)磁盤寫滿后，會(huì)將“求助信息”寫入到待上傳日志文件中，通知攻擊者。

carbon_system.dll通過LoadLibrary調(diào)用其他模塊，并調(diào)用start函數(shù)啟動(dòng)，在日志中記錄啟動(dòng)時(shí)間，模塊名稱等信息。

還會(huì)搜集當(dāng)前設(shè)備上運(yùn)行的進(jìn)程信息，監(jiān)視進(jìn)程變化，并將進(jìn)程信息記錄在日志文件中，同樣的，仍然是使用管道來進(jìn)行數(shù)據(jù)的傳輸。

carbon在執(zhí)行任務(wù)時(shí)會(huì)從配置文件中讀取具體的任務(wù)信息：

task_id | task_filepath | task_config_filepath | task_result_filepath | task_log_filepath | [execution_mode | username | password]

每一個(gè)任務(wù)都有自己獨(dú)立的id號(hào)，通過額外的參數(shù)來指定運(yùn)行的方式和方法。

carbon_system.dll就如同一個(gè)控制終端一樣，是一個(gè)體系化開發(fā)的攻擊套件，可以任意增加或刪除模塊，只需要提供對(duì)應(yīng)的導(dǎo)出函數(shù)即可調(diào)用，并且，carbon_system.dll通過監(jiān)控不同模塊產(chǎn)生的日志信息，來判斷是否成功執(zhí)行了命令，這也在一定程度上，隱藏了攻擊者的活動(dòng)。

同時(shí)，Turla還提供了64位版本的carbon_system.dll文件，以適應(yīng)x64環(huán)境。在64位版本中，Turla并沒有刪除PDB信息，可以看到其項(xiàng)目名稱是cobra。

f:\Workshop\Projects\cobra\carbon_system\x64\Release\carbon_system.pdb

但是在x86版本中并未發(fā)現(xiàn)該P(yáng)DB信息，攻擊者在編譯完成后，并沒有對(duì)x64版本操作，直接打包到了carbon_system的loader文件中。

4.4 第二階段后門——Carbon其他版本

carbon v3.51與4.3節(jié)中提到的最初版本區(qū)別在于通信部分，v3.51中通過http請(qǐng)求來與C2進(jìn)行交互，并在其中隨機(jī)填充了例如：www.yahoo.com，www.bbc.com，www.google.com等域名，用以隱藏自身流量，部分下載和獲取的信息保存在\\\\.\\IdeDrive1\\\\Results\\result.txt文件中。這里提到的\\\\.\\IdeDrive1\\\\目錄是虛擬文件系統(tǒng)中的目錄。

在此版本中，攻擊者刪除了對(duì)磁盤文件的監(jiān)控，不再報(bào)告被感染設(shè)備的存儲(chǔ)情況，降低每次傳輸?shù)男畔?shù)據(jù)量。而對(duì)運(yùn)行進(jìn)程的獲取則集中在tcpdump.exe、windump.exe、windump.exe、wireshark.exe、wireshark.exe、snoop.exe。當(dāng)發(fā)現(xiàn)了此類進(jìn)程后，會(huì)記錄日志進(jìn)行回傳：

在v3.61版本的carbon模塊中可以找到一些debug信息，與上一版本不同的是，這次的debug信息是留存在x86架構(gòu)的惡意文件中，并未被清理：

4.5 第二階段后門——Mosquito

該后門的loader部分會(huì)先進(jìn)行自解密，得到代碼。解密后的代碼通過計(jì)算函數(shù)名hash來查找所需要調(diào)用的函數(shù)地址。這兩個(gè)函數(shù)并沒有加密存儲(chǔ)，通過IDA等工具可以直接看到其代碼，自解密函數(shù)為sub_5711E0，計(jì)算hash函數(shù)為sub_570E10。完成函數(shù)的導(dǎo)入之后，從自身文件中讀取數(shù)據(jù)并進(jìn)行解密，解密函數(shù)為sub_56D480，解密后是兩個(gè)PE文件，寫入到磁盤中。

日志內(nèi)容寫入文件%APPDATA%\Roaming\kb6867.bin中。

釋放的文件包含主后門程序，該后門通過loader加載，在執(zhí)行時(shí)通過對(duì)EAT表進(jìn)行修改來增加函數(shù)進(jìn)行導(dǎo)出，對(duì)原始導(dǎo)出表進(jìn)行修改。

替換后的函數(shù)先對(duì)加密后的庫文件名和函數(shù)名進(jìn)行解密，并通過動(dòng)態(tài)加載的方式，得到函數(shù)地址，接著創(chuàng)建名為\\.\pipe\ms32loc的命名管道，隨后創(chuàng)建線程，等待其他進(jìn)程的連入。該后門通過設(shè)置注冊(cè)表項(xiàng)，來寫入一些基礎(chǔ)配置信息。注冊(cè)表路徑如下：HKCU\Software\Microsoft\[dllname]，填入信息如下：

4.6 第二階段后門——Javascript后門

第一種JavaScript用于替換Mosquito后門，利用假的Adobe Flash Player安裝包進(jìn)行安裝。

獲取返回的數(shù)據(jù)，并用base64解碼執(zhí)行。

第二種JavaScript文件讀取％programdata％\ 1.txt并使用eval函數(shù)執(zhí)行其內(nèi)容。在HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中添加local_update_check來開機(jī)啟動(dòng)。

4.7 第二階段后門——KopiLuwak

此后門通過文檔進(jìn)行傳播，利用宏進(jìn)行攻擊，在宏代碼中，調(diào)試可以發(fā)現(xiàn)，該初始代碼通過xor算法對(duì)數(shù)據(jù)進(jìn)行解密，解密后的數(shù)據(jù)寫入mailform.js文件中，釋放文件存儲(chǔ)在%APPDATA%\Microsoft\Windows路徑下：

執(zhí)行該mailform.js文件，傳入?yún)?shù)NPEfpRZ4aqnh2YuGwQd0，該參數(shù)是R**密鑰，負(fù)責(zé)解密內(nèi)置的數(shù)據(jù)，解碼后，仍然是一個(gè)JavaScript文件，該文件即為KopiLuwak后門。

移動(dòng)自身文件，根據(jù)系統(tǒng)版本不同，轉(zhuǎn)到不同文件夾中：

c:\Users\<USERNAME>\AppData\Local\Microsoft\Windows\mailform.js

c:\Users\<USERNAME>\AppData\Local\Temp\mailform.js

c:\Documents and Settings\<USERNAME>\Application Data\Microsoft\Windows\mailform.js

通過設(shè)置注冊(cè)表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\來完成持久化駐留，鍵值為wscript.exe mailform.js “NPEfpRZ4aqnh2YuGwQd0”。

通過cmd.exe執(zhí)行以下命令，并將結(jié)果寫入與mailform.js同一目錄下的~dat.tmp文件中，并使用R**算法對(duì)結(jié)果進(jìn)行加密，密鑰為“2f532d6baec3d0ec7b1f98aed4774843”，加密后刪除原始文件：

systeminfo

net view

net view /domain

tasklist /v

gpresult /z

netstat -nao

ipconfig /all

arp -a

net share

net use

net user

net user administrator

net user /domain

net user administrator /domain

set

dir %systemdrive%Users*.*

dir %userprofile%AppDataRoamingMicrosoftWindowsRecent*.*

dir %userprofile%Desktop*.*

tasklist /fi “modules eq wow64.dll”

tasklist /fi “modules ne wow64.dll”

dir “%programfiles(x86)%”

dir “%programfiles%”

dir %appdata%

該后門內(nèi)置了兩個(gè)地址：http://soligro.com/wp-includes/pomo/db.php, http://belcollegium.org/wp-admin/includes/class-wp-upload-plugins-list-table.php，用于通訊，可以通過路徑推斷第二個(gè)網(wǎng)站使用了WordPress，并被攻擊者攻陷，用于C2托管。

利用POST方法將前述加密數(shù)據(jù)發(fā)送到這兩個(gè)網(wǎng)站其中任意一個(gè)中，其中發(fā)送的User-Agent字段除了使用"Mozilla/5.0 (Windows NT 6.1; Win64; x64);填充外，在末尾補(bǔ)充了當(dāng)前計(jì)算機(jī)名稱生成的一個(gè)UID，算法如下，其中zIRF代表字符串“KRMLT0G3PHdYjnEm”，Vxiu代表當(dāng)前計(jì)算機(jī)用戶名：

C2在接收到數(shù)據(jù)后，會(huì)回復(fù)四種指令：

當(dāng)接收到work指令時(shí)，會(huì)將搜集到信息全部發(fā)回C2，接收到fail指令時(shí)，則清理注冊(cè)表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\中的數(shù)據(jù)。

總結(jié)

Turla組織是目前APT團(tuán)伙中使用最為復(fù)雜攻擊工具的組織之一，其目標(biāo)涵蓋了歐洲各國(guó)外交部，軍隊(duì)，歐洲、美洲等國(guó)家的情報(bào)部門。在前期的攻擊活動(dòng)中，該組織使用自研武器對(duì)外進(jìn)行攻擊，特征較為明顯。在近幾年，該組織轉(zhuǎn)而大規(guī)模使用開源平臺(tái)，如MSF、cobalt strike等構(gòu)建的后門，入侵攻擊，橫向移動(dòng)工具等，將自身行動(dòng)掩蓋在大量的攻擊活動(dòng)中，以期獲得更多的情報(bào)信息，延緩被發(fā)現(xiàn)和檢測(cè)的時(shí)間。

同時(shí)，該組織善于使用水坑網(wǎng)站對(duì)目標(biāo)進(jìn)行滲透，在很長(zhǎng)一段時(shí)間內(nèi)，都不容易被發(fā)現(xiàn)，因此對(duì)于該組織的防御應(yīng)著重關(guān)注網(wǎng)頁訪問記錄，排查偽造域名的政府、基礎(chǔ)網(wǎng)站，以此來降低被攻擊的風(fēng)險(xiǎn)。

總結(jié)

以上是生活随笔為你收集整理的Turla组织指的是什么的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。