溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家分享的是有關Turla組織指的是什么的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。
Turla,又名Snake,Uroburos,Waterbug,WhiteBear。由GData在2014年披露后,卡巴斯基、賽門鐵克、ESET持續對該組織進行追蹤和分析。根據該組織使用的惡意文件的編譯時間,最早可以追溯到2011年。通過對代碼及功能對比,可以追溯到2006年檢測名稱為Agent.BTZ的惡意文件與該組織有關聯。因此可以推測出該組織早在2006年就已經開始進行攻擊。
Turla組織使用了rootkit技術對計算機進行監控,完成數據竊取功能。這個方法在Windows早期版本的系統中非常實用,可以有效隱藏在計算機中,擁有較高權限。從Windows vista開始,微軟加強了對第三方驅動加載過程的控制,需要獲取證書并由用戶同意才可以正常安裝。因此Turla組織轉而使用更復雜的侵入過程并植入不帶rootkit套件的遠控軟件對信息進行采集,但這增大了被發現的幾率。
Turla組織攻擊目標包括政府機構、使館、軍事機構、教育機構、研究機構和制藥公司。最初在攻擊美國情報部門后被披露。近幾年,該組織攻擊了德國外交部,法國軍隊相關公司的服務器,竊取了大量的情報信息。
對Turla組織使用的惡意軟件進行分析后,總結出以下信息:
1、攻擊者在編寫惡意軟件時輸出的debug信息是英文,但不是母語;
2、攻擊者的基礎設施來源于俄羅斯;
3、攻擊者使用的默認語言為俄語;
4、Agent.BTZ中也出現了類似的痕跡。
因此,將其定為來源于俄羅斯的威脅攻擊組織。
Turla組織撕開防御設備的方法是通過運用社會工程學手段的魚叉攻擊以及水坑攻擊來完成。
在最初被發現的攻擊過程中,攻擊者使用了帶有漏洞的PDF文件,并通過電子郵件進行投遞。通過社會工程學誘導用戶點擊執行該PDF文件,并發送給同事或職位更高的人員。同時,附件中也存在“.SCR”擴展名的惡意軟件安裝程序,在安裝時釋放RAR文件并打開內置的正常PDF文件。
圖 正常的PDF文件
與此類似的攻擊手法伏影實驗室在4月發布的疫情攻擊相關的文章也有詳細分析。
2010-2016年間,該組織始終利用瀏覽器進行攻擊,包括水坑攻擊以及0day漏洞。攻擊者對攻擊網站植入下圖中標識出來的惡意JavaScript腳本,當用戶訪問被攻陷的網站時,即執行該JavaScript腳本。
經過整理,我們獲取了所有的曾經被攻擊過的網站及其名稱:
上述網站在14-17年間被用作水坑攻擊的站點,這些站點被嵌入了JavaScript代碼,在用戶訪問的時候執行,其功能大多為獲取瀏覽器的插件列表,屏幕分辨率等信息。同時,Turla在進行攻擊時會主動選擇他們感興趣的用戶,下發惡意文件,而最為重要的一種形式是利用假的Adobe Flash安裝包安裝后門。
Turla比較有特點的攻擊方式是利用Adobe進行攻擊誘騙,這種結果也與捕獲的方向有關,相當一部分政府的網站在建設成型以后,很少會快速迭代更新,使用更加先進的體系結構,而Adobe Flash這個存在大量漏洞的插件已經深度的整合在這些網站中。因此,在捕獲相關威脅時,與Adobe Flash相關的攻擊從未缺席。
2.3 MITM流量劫持與修改
Turla組織在進行攻擊時,通過MITM(中間人攻擊)來劫持Adobe的網絡,使得用戶在請求下載最新的軟件更新包時,替換用戶的下載內容,在用戶無感的情況下下載惡意軟件,并完成對目標主機的控制。但此種方式需要獲取核心路由的權限,甚至需要針對企業/政府的關鍵節點進行劫持。
但是在用戶側觀察到的攻擊過程則顯得非常簡單,例如用戶訪問以下鏈接,該鏈接歸屬于Adobe公司,是Adobe的子域名,http://admdownload.adobe.com/ bin/live/flashplayer27_xa_install.exe,通過此鏈接下載Turla的惡意文件,但是該請求的http頭中的referer字段被更改成了:
http://get.adobe.com/flashplayer/download/?installer=Flash_Player,這個地址與正常下載Adobe的域名相同,協議不同。分析認為,這里是為了繞過Adobe檢測機制而插入的referer信息,以便于能夠正常訪問到admdownload.adobe.com。
Turla組織常用RAT簡析
在侵入內部網絡后,Turla組織會對目標進行篩選,挑選出感興趣的,具有高價值信息的目標,并在感染設備上投放惡意軟件。從2011年起至今,Turla被發現針對Windows、Linux、MacOS平臺均開發了對應的惡意軟件,持續竊取機密信息。
該后門會對環境進行檢測和處理,通過識別一些網絡監測工具來判斷是否可以執行,包括:tcpdump.exe、windump.exe、ethereal.exe、wireshark.exe、dsniff.exe。在與C2進行通信則采用了HTTP協議,通過對<div>something</div>格式的內容進行解析,來獲取C2下發的指令。
該后門用ID來對受害者進行標記,在第一次進行通信時,會發送帶有計算機信息的數據包到C2,并且使用加密算法對發送內容進行加密,但是攻擊者將密鑰也通過這一方式進行傳輸,因此可以對流量進行解密分析。
當Turla組織根據回傳信息判斷出目標值得進行更進一步的攻擊時,攻擊者才會將第二階段的后門部署在目標設備上。可以將第一階段后門理解為Turla組織的攻擊試探,這種方式能夠有效的避免將Uroburos下載到無關設備上,減少暴露風險。
Uroburos是最為出名的一個后門,在Turla第一次被發現時,從被攻陷設備中提取出來的一個rootkit后門。攻擊者在使用該后門時,同時也在使用一個加密的虛擬文件系統,以此來確保自己的攻擊活動隱秘且高效。
Uroburos通過創建服務來保證自身能持續駐留在系統中,在注冊表中可以找到如下鍵值信息:
HKLM\System\CurrentControlSet\Services\Ultra3
Uroburos的主要功能如下:
l 關鍵函數hook
l 解密虛擬文件系統
l 注入Ring3層
l C&C通信
l 數據包抓取
Inline hook
Uroburos采用Inline hook的方式對關鍵函數進行修改,如:
對ZwQueryKey(), ZwEnumerateKey(), ZwCreateKey() 和 ZwSaveKey()函數hook,目的是為了隱藏在注冊表中增加的持續駐留用的鍵。
對ZwReadFile()函數hook,是為了隱藏自身文件。
對ZwQuerySystemInformation()函數hook,是為了隱藏驅動對象。
對ZwTerminateProcess()函數hook,是為了在停止工作時對環境進行清理,避免藍屏等問題出現。
對ObOpenObjectByName()函數hook,是為了隱藏虛擬文件系統。
部分hook函數列表
Uroburos提供了NTFS和FAT32兩種虛擬文件系統以適應不同情況的設備,通過該虛擬文件系統,攻擊者可以在系統中存放竊取的數據,黑客工具抑或是需要輸出的運行日志信息,而通過對內核函數的hook,也避免了被殺軟找到該虛擬文件系統,從而提高了隱蔽性,同時,因不會占用系統磁盤,在用戶側的感知幾乎為0。
該虛擬文件系統使用CAST-128進行加密,密鑰硬編碼在驅動文件中,在驅動掛載運行時進行解密,解密后,該文件系統中存放.bat腳本,該腳本通過使用net命令進行內網機器發現,獲取局域網中機器的基礎信息以供橫向移動時使用。
在文件系統中還有一個隊列文件,每一個隊列文件中都包含一個uid、類型、時間戳和載荷,載荷還包括一個用于解密的key。根據GDATA捕獲的其他文件的分析,可能還包括配置文件,文件等信息。
Uroburos支持對流量進行抓取,對數據包進行修改和攔截。可以處理HTTP,ICMP,SMTP協議流量,可以通過命名管道獲取應用層傳輸的信息。
同時,攻擊者預留了接口用于增加新的協議和新的方法來對流量進行處理,攻擊者通過對虛擬文件系統中包含的文件進行更新來達到持續攻擊的目的。
Uroburos提供tcp、enc、np、reliable、frag、udp、m2d、doms、t2m、domc通信方式。在代碼中可以看到np,reliable,frag,enc,m2b,m2d是通過NamedPipe進行通信。tcp,udp都是在驅動層構造數據包進行通信。
攻擊者在入侵的初期會判斷被攻擊目標的價值,在引起攻擊者的興趣后,攻擊者會將Carbon后門植入到設備中。Carbon是一個模塊化的工具,通過替換不同的插件來實現對應功能。
在初期捕獲的Carbon樣本中,其插件模塊被放置在資源段中,其中最主要的模塊是一個叫做carbon_system.dll的模塊,該模塊存在2個導出函數,ModuleStart和ModuleStop。在ModuleStart函數中,會創建多個互斥體用于區分不同的模塊單元,并在System\\目錄下創建log文件,用于記錄執行過程中產生的debug信息。
carbon_system.dll作為主功能模塊,會創建windows命名管道用于其他模塊間的通信,接收其他功能模塊獲取的信息,并將其寫入文件中,等待上傳。carbon_system.dll通過GetDiskFreeSpaceExA獲取磁盤信息,用于監視磁盤使用情況,當磁盤寫滿后,會將“求助信息”寫入到待上傳日志文件中,通知攻擊者。
carbon_system.dll通過LoadLibrary調用其他模塊,并調用start函數啟動,在日志中記錄啟動時間,模塊名稱等信息。
還會搜集當前設備上運行的進程信息,監視進程變化,并將進程信息記錄在日志文件中,同樣的,仍然是使用管道來進行數據的傳輸。
carbon在執行任務時會從配置文件中讀取具體的任務信息:
task_id | task_filepath | task_config_filepath | task_result_filepath | task_log_filepath | [execution_mode | username | password]
每一個任務都有自己獨立的id號,通過額外的參數來指定運行的方式和方法。
carbon_system.dll就如同一個控制終端一樣,是一個體系化開發的攻擊套件,可以任意增加或刪除模塊,只需要提供對應的導出函數即可調用,并且,carbon_system.dll通過監控不同模塊產生的日志信息,來判斷是否成功執行了命令,這也在一定程度上,隱藏了攻擊者的活動。
同時,Turla還提供了64位版本的carbon_system.dll文件,以適應x64環境。在64位版本中,Turla并沒有刪除PDB信息,可以看到其項目名稱是cobra。
f:\Workshop\Projects\cobra\carbon_system\x64\Release\carbon_system.pdb
但是在x86版本中并未發現該PDB信息,攻擊者在編譯完成后,并沒有對x64版本操作,直接打包到了carbon_system的loader文件中。
carbon v3.51與4.3節中提到的最初版本區別在于通信部分,v3.51中通過http請求來與C2進行交互,并在其中隨機填充了例如:www.yahoo.com,www.bbc.com,www.google.com等域名,用以隱藏自身流量,部分下載和獲取的信息保存在\\\\.\\IdeDrive1\\\\Results\\result.txt文件中。這里提到的\\\\.\\IdeDrive1\\\\目錄是虛擬文件系統中的目錄。
在此版本中,攻擊者刪除了對磁盤文件的監控,不再報告被感染設備的存儲情況,降低每次傳輸的信息數據量。而對運行進程的獲取則集中在tcpdump.exe、windump.exe、windump.exe、wireshark.exe、wireshark.exe、snoop.exe。當發現了此類進程后,會記錄日志進行回傳:
在v3.61版本的carbon模塊中可以找到一些debug信息,與上一版本不同的是,這次的debug信息是留存在x86架構的惡意文件中,并未被清理:
該后門的loader部分會先進行自解密,得到代碼。解密后的代碼通過計算函數名hash來查找所需要調用的函數地址。這兩個函數并沒有加密存儲,通過IDA等工具可以直接看到其代碼,自解密函數為sub_5711E0,計算hash函數為sub_570E10。完成函數的導入之后,從自身文件中讀取數據并進行解密,解密函數為sub_56D480,解密后是兩個PE文件,寫入到磁盤中。
日志內容寫入文件%APPDATA%\Roaming\kb6867.bin中。
釋放的文件包含主后門程序,該后門通過loader加載,在執行時通過對EAT表進行修改來增加函數進行導出,對原始導出表進行修改。
替換后的函數先對加密后的庫文件名和函數名進行解密,并通過動態加載的方式,得到函數地址,接著創建名為\\.\pipe\ms32loc的命名管道,隨后創建線程,等待其他進程的連入。該后門通過設置注冊表項,來寫入一些基礎配置信息。注冊表路徑如下:HKCU\Software\Microsoft\[dllname],填入信息如下:
4.6 第二階段后門——Javascript后門
第一種JavaScript用于替換Mosquito后門,利用假的Adobe Flash Player安裝包進行安裝。
獲取返回的數據,并用base64解碼執行。
第二種JavaScript文件讀取%programdata%\ 1.txt并使用eval函數執行其內容。在HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中添加local_update_check來開機啟動。
此后門通過文檔進行傳播,利用宏進行攻擊,在宏代碼中,調試可以發現,該初始代碼通過xor算法對數據進行解密,解密后的數據寫入mailform.js文件中,釋放文件存儲在%APPDATA%\Microsoft\Windows路徑下:
執行該mailform.js文件,傳入參數NPEfpRZ4aqnh2YuGwQd0,該參數是R**密鑰,負責解密內置的數據,解碼后,仍然是一個JavaScript文件,該文件即為KopiLuwak后門。
移動自身文件,根據系統版本不同,轉到不同文件夾中:
c:\Users\<USERNAME>\AppData\Local\Microsoft\Windows\mailform.js
c:\Users\<USERNAME>\AppData\Local\Temp\mailform.js
c:\Documents and Settings\<USERNAME>\Application Data\Microsoft\Windows\mailform.js
通過設置注冊表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\來完成持久化駐留,鍵值為wscript.exe mailform.js “NPEfpRZ4aqnh2YuGwQd0”。
通過cmd.exe執行以下命令,并將結果寫入與mailform.js同一目錄下的~dat.tmp文件中,并使用R**算法對結果進行加密,密鑰為“2f532d6baec3d0ec7b1f98aed4774843”,加密后刪除原始文件:
systeminfo
net view
net view /domain
tasklist /v
gpresult /z
netstat -nao
ipconfig /all
arp -a
net share
net use
net user
net user administrator
net user /domain
net user administrator /domain
set
dir %systemdrive%Users*.*
dir %userprofile%AppDataRoamingMicrosoftWindowsRecent*.*
dir %userprofile%Desktop*.*
tasklist /fi “modules eq wow64.dll”
tasklist /fi “modules ne wow64.dll”
dir “%programfiles(x86)%”
dir “%programfiles%”
dir %appdata%
該后門內置了兩個地址:http://soligro.com/wp-includes/pomo/db.php, http://belcollegium.org/wp-admin/includes/class-wp-upload-plugins-list-table.php,用于通訊,可以通過路徑推斷第二個網站使用了WordPress,并被攻擊者攻陷,用于C2托管。
利用POST方法將前述加密數據發送到這兩個網站其中任意一個中,其中發送的User-Agent字段除了使用"Mozilla/5.0 (Windows NT 6.1; Win64; x64);填充外,在末尾補充了當前計算機名稱生成的一個UID,算法如下,其中zIRF代表字符串“KRMLT0G3PHdYjnEm”,Vxiu代表當前計算機用戶名:
C2在接收到數據后,會回復四種指令:
當接收到work指令時,會將搜集到信息全部發回C2,接收到fail指令時,則清理注冊表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\中的數據。
Turla組織是目前APT團伙中使用最為復雜攻擊工具的組織之一,其目標涵蓋了歐洲各國外交部,軍隊,歐洲、美洲等國家的情報部門。在前期的攻擊活動中,該組織使用自研武器對外進行攻擊,特征較為明顯。在近幾年,該組織轉而大規模使用開源平臺,如MSF、cobalt strike等構建的后門,入侵攻擊,橫向移動工具等,將自身行動掩蓋在大量的攻擊活動中,以期獲得更多的情報信息,延緩被發現和檢測的時間。
同時,該組織善于使用水坑網站對目標進行滲透,在很長一段時間內,都不容易被發現,因此對于該組織的防御應著重關注網頁訪問記錄,排查偽造域名的政府、基礎網站,以此來降低被攻擊的風險。
感謝各位的閱讀!關于“Turla組織指的是什么”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
