Turla组织指的是什么
這篇文章給大家分享的是有關Turla組織指的是什么的內(nèi)容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。
Turla組織概述
Turla,又名Snake,Uroburos,Waterbug,WhiteBear。由GData在2014年披露后,卡巴斯基、賽門鐵克、ESET持續(xù)對該組織進行追蹤和分析。根據(jù)該組織使用的惡意文件的編譯時間,最早可以追溯到2011年。通過對代碼及功能對比,可以追溯到2006年檢測名稱為Agent.BTZ的惡意文件與該組織有關聯(lián)。因此可以推測出該組織早在2006年就已經(jīng)開始進行攻擊。
Turla組織使用了rootkit技術對計算機進行監(jiān)控,完成數(shù)據(jù)竊取功能。這個方法在Windows早期版本的系統(tǒng)中非常實用,可以有效隱藏在計算機中,擁有較高權限。從Windows vista開始,微軟加強了對第三方驅(qū)動加載過程的控制,需要獲取證書并由用戶同意才可以正常安裝。因此Turla組織轉(zhuǎn)而使用更復雜的侵入過程并植入不帶rootkit套件的遠控軟件對信息進行采集,但這增大了被發(fā)現(xiàn)的幾率。
Turla組織攻擊目標包括政府機構、使館、軍事機構、教育機構、研究機構和制藥公司。最初在攻擊美國情報部門后被披露。近幾年,該組織攻擊了德國外交部,法國軍隊相關公司的服務器,竊取了大量的情報信息。
對Turla組織使用的惡意軟件進行分析后,總結(jié)出以下信息:
1、攻擊者在編寫惡意軟件時輸出的debug信息是英文,但不是母語;
2、攻擊者的基礎設施來源于俄羅斯;
3、攻擊者使用的默認語言為俄語;
4、Agent.BTZ中也出現(xiàn)了類似的痕跡。
因此,將其定為來源于俄羅斯的威脅攻擊組織。
Turla組織入侵手法
Turla組織撕開防御設備的方法是通過運用社會工程學手段的魚叉攻擊以及水坑攻擊來完成。
2.1 社會工程學攻擊
在最初被發(fā)現(xiàn)的攻擊過程中,攻擊者使用了帶有漏洞的PDF文件,并通過電子郵件進行投遞。通過社會工程學誘導用戶點擊執(zhí)行該PDF文件,并發(fā)送給同事或職位更高的人員。同時,附件中也存在“.SCR”擴展名的惡意軟件安裝程序,在安裝時釋放RAR文件并打開內(nèi)置的正常PDF文件。
圖 正常的PDF文件
與此類似的攻擊手法伏影實驗室在4月發(fā)布的疫情攻擊相關的文章也有詳細分析。
2.2 水坑攻擊
2010-2016年間,該組織始終利用瀏覽器進行攻擊,包括水坑攻擊以及0day漏洞。攻擊者對攻擊網(wǎng)站植入下圖中標識出來的惡意JavaScript腳本,當用戶訪問被攻陷的網(wǎng)站時,即執(zhí)行該JavaScript腳本。
經(jīng)過整理,我們獲取了所有的曾經(jīng)被攻擊過的網(wǎng)站及其名稱:
上述網(wǎng)站在14-17年間被用作水坑攻擊的站點,這些站點被嵌入了JavaScript代碼,在用戶訪問的時候執(zhí)行,其功能大多為獲取瀏覽器的插件列表,屏幕分辨率等信息。同時,Turla在進行攻擊時會主動選擇他們感興趣的用戶,下發(fā)惡意文件,而最為重要的一種形式是利用假的Adobe Flash安裝包安裝后門。
Turla比較有特點的攻擊方式是利用Adobe進行攻擊誘騙,這種結(jié)果也與捕獲的方向有關,相當一部分政府的網(wǎng)站在建設成型以后,很少會快速迭代更新,使用更加先進的體系結(jié)構,而Adobe Flash這個存在大量漏洞的插件已經(jīng)深度的整合在這些網(wǎng)站中。因此,在捕獲相關威脅時,與Adobe Flash相關的攻擊從未缺席。
2.3 MITM流量劫持與修改
Turla組織在進行攻擊時,通過MITM(中間人攻擊)來劫持Adobe的網(wǎng)絡,使得用戶在請求下載最新的軟件更新包時,替換用戶的下載內(nèi)容,在用戶無感的情況下下載惡意軟件,并完成對目標主機的控制。但此種方式需要獲取核心路由的權限,甚至需要針對企業(yè)/政府的關鍵節(jié)點進行劫持。
但是在用戶側(cè)觀察到的攻擊過程則顯得非常簡單,例如用戶訪問以下鏈接,該鏈接歸屬于Adobe公司,是Adobe的子域名,http://admdownload.adobe.com/ bin/live/flashplayer27_xa_install.exe,通過此鏈接下載Turla的惡意文件,但是該請求的http頭中的referer字段被更改成了:
http://get.adobe.com/flashplayer/download/?installer=Flash_Player,這個地址與正常下載Adobe的域名相同,協(xié)議不同。分析認為,這里是為了繞過Adobe檢測機制而插入的referer信息,以便于能夠正常訪問到admdownload.adobe.com。
Turla攻擊技術梳理
ATT&CK矩陣
Turla組織常用RAT簡析
在侵入內(nèi)部網(wǎng)絡后,Turla組織會對目標進行篩選,挑選出感興趣的,具有高價值信息的目標,并在感染設備上投放惡意軟件。從2011年起至今,Turla被發(fā)現(xiàn)針對Windows、Linux、MacOS平臺均開發(fā)了對應的惡意軟件,持續(xù)竊取機密信息。
4.1 第一階段后門——The Epic
該后門會對環(huán)境進行檢測和處理,通過識別一些網(wǎng)絡監(jiān)測工具來判斷是否可以執(zhí)行,包括:tcpdump.exe、windump.exe、ethereal.exe、wireshark.exe、dsniff.exe。在與C2進行通信則采用了HTTP協(xié)議,通過對<div>something</div>格式的內(nèi)容進行解析,來獲取C2下發(fā)的指令。
該后門用ID來對受害者進行標記,在第一次進行通信時,會發(fā)送帶有計算機信息的數(shù)據(jù)包到C2,并且使用加密算法對發(fā)送內(nèi)容進行加密,但是攻擊者將密鑰也通過這一方式進行傳輸,因此可以對流量進行解密分析。
當Turla組織根據(jù)回傳信息判斷出目標值得進行更進一步的攻擊時,攻擊者才會將第二階段的后門部署在目標設備上。可以將第一階段后門理解為Turla組織的攻擊試探,這種方式能夠有效的避免將Uroburos下載到無關設備上,減少暴露風險。
4.2 第二階段后門——Uroburos
Uroburos是最為出名的一個后門,在Turla第一次被發(fā)現(xiàn)時,從被攻陷設備中提取出來的一個rootkit后門。攻擊者在使用該后門時,同時也在使用一個加密的虛擬文件系統(tǒng),以此來確保自己的攻擊活動隱秘且高效。
Uroburos通過創(chuàng)建服務來保證自身能持續(xù)駐留在系統(tǒng)中,在注冊表中可以找到如下鍵值信息:
HKLM\System\CurrentControlSet\Services\Ultra3
Uroburos的主要功能如下:
l 關鍵函數(shù)hook
l 解密虛擬文件系統(tǒng)
l 注入Ring3層
l C&C通信
l 數(shù)據(jù)包抓取
Inline hook
Uroburos采用Inline hook的方式對關鍵函數(shù)進行修改,如:
對ZwQueryKey(), ZwEnumerateKey(), ZwCreateKey() 和 ZwSaveKey()函數(shù)hook,目的是為了隱藏在注冊表中增加的持續(xù)駐留用的鍵。
對ZwReadFile()函數(shù)hook,是為了隱藏自身文件。
對ZwQuerySystemInformation()函數(shù)hook,是為了隱藏驅(qū)動對象。
對ZwTerminateProcess()函數(shù)hook,是為了在停止工作時對環(huán)境進行清理,避免藍屏等問題出現(xiàn)。
對ObOpenObjectByName()函數(shù)hook,是為了隱藏虛擬文件系統(tǒng)。
部分hook函數(shù)列表
解密文件系統(tǒng)
Uroburos提供了NTFS和FAT32兩種虛擬文件系統(tǒng)以適應不同情況的設備,通過該虛擬文件系統(tǒng),攻擊者可以在系統(tǒng)中存放竊取的數(shù)據(jù),黑客工具抑或是需要輸出的運行日志信息,而通過對內(nèi)核函數(shù)的hook,也避免了被殺軟找到該虛擬文件系統(tǒng),從而提高了隱蔽性,同時,因不會占用系統(tǒng)磁盤,在用戶側(cè)的感知幾乎為0。
該虛擬文件系統(tǒng)使用CAST-128進行加密,密鑰硬編碼在驅(qū)動文件中,在驅(qū)動掛載運行時進行解密,解密后,該文件系統(tǒng)中存放.bat腳本,該腳本通過使用net命令進行內(nèi)網(wǎng)機器發(fā)現(xiàn),獲取局域網(wǎng)中機器的基礎信息以供橫向移動時使用。
在文件系統(tǒng)中還有一個隊列文件,每一個隊列文件中都包含一個uid、類型、時間戳和載荷,載荷還包括一個用于解密的key。根據(jù)GDATA捕獲的其他文件的分析,可能還包括配置文件,文件等信息。
數(shù)據(jù)包抓取
Uroburos支持對流量進行抓取,對數(shù)據(jù)包進行修改和攔截。可以處理HTTP,ICMP,SMTP協(xié)議流量,可以通過命名管道獲取應用層傳輸?shù)男畔ⅰ?/p>
同時,攻擊者預留了接口用于增加新的協(xié)議和新的方法來對流量進行處理,攻擊者通過對虛擬文件系統(tǒng)中包含的文件進行更新來達到持續(xù)攻擊的目的。
C&C通信
Uroburos提供tcp、enc、np、reliable、frag、udp、m2d、doms、t2m、domc通信方式。在代碼中可以看到np,reliable,frag,enc,m2b,m2d是通過NamedPipe進行通信。tcp,udp都是在驅(qū)動層構造數(shù)據(jù)包進行通信。
4.3 第二階段后門——Carbon
攻擊者在入侵的初期會判斷被攻擊目標的價值,在引起攻擊者的興趣后,攻擊者會將Carbon后門植入到設備中。Carbon是一個模塊化的工具,通過替換不同的插件來實現(xiàn)對應功能。
在初期捕獲的Carbon樣本中,其插件模塊被放置在資源段中,其中最主要的模塊是一個叫做carbon_system.dll的模塊,該模塊存在2個導出函數(shù),ModuleStart和ModuleStop。在ModuleStart函數(shù)中,會創(chuàng)建多個互斥體用于區(qū)分不同的模塊單元,并在System\\目錄下創(chuàng)建log文件,用于記錄執(zhí)行過程中產(chǎn)生的debug信息。
carbon_system.dll作為主功能模塊,會創(chuàng)建windows命名管道用于其他模塊間的通信,接收其他功能模塊獲取的信息,并將其寫入文件中,等待上傳。carbon_system.dll通過GetDiskFreeSpaceExA獲取磁盤信息,用于監(jiān)視磁盤使用情況,當磁盤寫滿后,會將“求助信息”寫入到待上傳日志文件中,通知攻擊者。
carbon_system.dll通過LoadLibrary調(diào)用其他模塊,并調(diào)用start函數(shù)啟動,在日志中記錄啟動時間,模塊名稱等信息。
還會搜集當前設備上運行的進程信息,監(jiān)視進程變化,并將進程信息記錄在日志文件中,同樣的,仍然是使用管道來進行數(shù)據(jù)的傳輸。
carbon在執(zhí)行任務時會從配置文件中讀取具體的任務信息:
task_id | task_filepath | task_config_filepath | task_result_filepath | task_log_filepath | [execution_mode | username | password]
每一個任務都有自己獨立的id號,通過額外的參數(shù)來指定運行的方式和方法。
carbon_system.dll就如同一個控制終端一樣,是一個體系化開發(fā)的攻擊套件,可以任意增加或刪除模塊,只需要提供對應的導出函數(shù)即可調(diào)用,并且,carbon_system.dll通過監(jiān)控不同模塊產(chǎn)生的日志信息,來判斷是否成功執(zhí)行了命令,這也在一定程度上,隱藏了攻擊者的活動。
同時,Turla還提供了64位版本的carbon_system.dll文件,以適應x64環(huán)境。在64位版本中,Turla并沒有刪除PDB信息,可以看到其項目名稱是cobra。
f:\Workshop\Projects\cobra\carbon_system\x64\Release\carbon_system.pdb
但是在x86版本中并未發(fā)現(xiàn)該PDB信息,攻擊者在編譯完成后,并沒有對x64版本操作,直接打包到了carbon_system的loader文件中。
4.4 第二階段后門——Carbon其他版本
carbon v3.51與4.3節(jié)中提到的最初版本區(qū)別在于通信部分,v3.51中通過http請求來與C2進行交互,并在其中隨機填充了例如:www.yahoo.com,www.bbc.com,www.google.com等域名,用以隱藏自身流量,部分下載和獲取的信息保存在\\\\.\\IdeDrive1\\\\Results\\result.txt文件中。這里提到的\\\\.\\IdeDrive1\\\\目錄是虛擬文件系統(tǒng)中的目錄。
在此版本中,攻擊者刪除了對磁盤文件的監(jiān)控,不再報告被感染設備的存儲情況,降低每次傳輸?shù)男畔?shù)據(jù)量。而對運行進程的獲取則集中在tcpdump.exe、windump.exe、windump.exe、wireshark.exe、wireshark.exe、snoop.exe。當發(fā)現(xiàn)了此類進程后,會記錄日志進行回傳:
在v3.61版本的carbon模塊中可以找到一些debug信息,與上一版本不同的是,這次的debug信息是留存在x86架構的惡意文件中,并未被清理:
4.5 第二階段后門——Mosquito
該后門的loader部分會先進行自解密,得到代碼。解密后的代碼通過計算函數(shù)名hash來查找所需要調(diào)用的函數(shù)地址。這兩個函數(shù)并沒有加密存儲,通過IDA等工具可以直接看到其代碼,自解密函數(shù)為sub_5711E0,計算hash函數(shù)為sub_570E10。完成函數(shù)的導入之后,從自身文件中讀取數(shù)據(jù)并進行解密,解密函數(shù)為sub_56D480,解密后是兩個PE文件,寫入到磁盤中。
日志內(nèi)容寫入文件%APPDATA%\Roaming\kb6867.bin中。
釋放的文件包含主后門程序,該后門通過loader加載,在執(zhí)行時通過對EAT表進行修改來增加函數(shù)進行導出,對原始導出表進行修改。
替換后的函數(shù)先對加密后的庫文件名和函數(shù)名進行解密,并通過動態(tài)加載的方式,得到函數(shù)地址,接著創(chuàng)建名為\\.\pipe\ms32loc的命名管道,隨后創(chuàng)建線程,等待其他進程的連入。該后門通過設置注冊表項,來寫入一些基礎配置信息。注冊表路徑如下:HKCU\Software\Microsoft\[dllname],填入信息如下:
4.6 第二階段后門——Javascript后門
第一種JavaScript用于替換Mosquito后門,利用假的Adobe Flash Player安裝包進行安裝。
獲取返回的數(shù)據(jù),并用base64解碼執(zhí)行。
第二種JavaScript文件讀取%programdata%\ 1.txt并使用eval函數(shù)執(zhí)行其內(nèi)容。在HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中添加local_update_check來開機啟動。
4.7 第二階段后門——KopiLuwak
此后門通過文檔進行傳播,利用宏進行攻擊,在宏代碼中,調(diào)試可以發(fā)現(xiàn),該初始代碼通過xor算法對數(shù)據(jù)進行解密,解密后的數(shù)據(jù)寫入mailform.js文件中,釋放文件存儲在%APPDATA%\Microsoft\Windows路徑下:
執(zhí)行該mailform.js文件,傳入?yún)?shù)NPEfpRZ4aqnh2YuGwQd0,該參數(shù)是R**密鑰,負責解密內(nèi)置的數(shù)據(jù),解碼后,仍然是一個JavaScript文件,該文件即為KopiLuwak后門。
移動自身文件,根據(jù)系統(tǒng)版本不同,轉(zhuǎn)到不同文件夾中:
c:\Users\<USERNAME>\AppData\Local\Microsoft\Windows\mailform.js
c:\Users\<USERNAME>\AppData\Local\Temp\mailform.js
c:\Documents and Settings\<USERNAME>\Application Data\Microsoft\Windows\mailform.js
通過設置注冊表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\來完成持久化駐留,鍵值為wscript.exe mailform.js “NPEfpRZ4aqnh2YuGwQd0”。
通過cmd.exe執(zhí)行以下命令,并將結(jié)果寫入與mailform.js同一目錄下的~dat.tmp文件中,并使用R**算法對結(jié)果進行加密,密鑰為“2f532d6baec3d0ec7b1f98aed4774843”,加密后刪除原始文件:
systeminfo
net view
net view /domain
tasklist /v
gpresult /z
netstat -nao
ipconfig /all
arp -a
net share
net use
net user
net user administrator
net user /domain
net user administrator /domain
set
dir %systemdrive%Users*.*
dir %userprofile%AppDataRoamingMicrosoftWindowsRecent*.*
dir %userprofile%Desktop*.*
tasklist /fi “modules eq wow64.dll”
tasklist /fi “modules ne wow64.dll”
dir “%programfiles(x86)%”
dir “%programfiles%”
dir %appdata%
該后門內(nèi)置了兩個地址:http://soligro.com/wp-includes/pomo/db.php, http://belcollegium.org/wp-admin/includes/class-wp-upload-plugins-list-table.php,用于通訊,可以通過路徑推斷第二個網(wǎng)站使用了WordPress,并被攻擊者攻陷,用于C2托管。
利用POST方法將前述加密數(shù)據(jù)發(fā)送到這兩個網(wǎng)站其中任意一個中,其中發(fā)送的User-Agent字段除了使用"Mozilla/5.0 (Windows NT 6.1; Win64; x64);填充外,在末尾補充了當前計算機名稱生成的一個UID,算法如下,其中zIRF代表字符串“KRMLT0G3PHdYjnEm”,Vxiu代表當前計算機用戶名:
C2在接收到數(shù)據(jù)后,會回復四種指令:
當接收到work指令時,會將搜集到信息全部發(fā)回C2,接收到fail指令時,則清理注冊表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\中的數(shù)據(jù)。
總結(jié)
Turla組織是目前APT團伙中使用最為復雜攻擊工具的組織之一,其目標涵蓋了歐洲各國外交部,軍隊,歐洲、美洲等國家的情報部門。在前期的攻擊活動中,該組織使用自研武器對外進行攻擊,特征較為明顯。在近幾年,該組織轉(zhuǎn)而大規(guī)模使用開源平臺,如MSF、cobalt strike等構建的后門,入侵攻擊,橫向移動工具等,將自身行動掩蓋在大量的攻擊活動中,以期獲得更多的情報信息,延緩被發(fā)現(xiàn)和檢測的時間。
同時,該組織善于使用水坑網(wǎng)站對目標進行滲透,在很長一段時間內(nèi),都不容易被發(fā)現(xiàn),因此對于該組織的防御應著重關注網(wǎng)頁訪問記錄,排查偽造域名的政府、基礎網(wǎng)站,以此來降低被攻擊的風險。
總結(jié)
以上是生活随笔為你收集整理的Turla组织指的是什么的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ajax each html 太多,HT
- 下一篇: USB Type-C 接口有什么优点?