Insikt Group发布《Turla APT基础设施的跟踪报告》

Recorded Future的InsiktGroup®已开发出针对Turla恶意软件和基础设施的新检测方法,作为对最近Turla活动进行深入调查的一部分。数据源包括RecordedFuture®平台,ReversingLabs,VirusTotal,Shodan,BinaryEdge和各种OSINT工具。这项研究的目标受众包括对俄罗斯民族国家的计算机网络运营活动感兴趣的安全从业人员,网络防御者和威胁情报专业人员。

 

执行摘要

 

Turla,也被称为SnakeWaterbugVenomous Bear,是一个建立完善,复杂且具有战略重点的网络间谍组织,该组织与全球反对研究,外交和军事组织的行动已有十多年的历史,并且一直在关注尤其针对北大西洋公约组织(NATO)和独立国家联合体(CIS)国家内的实体。

 

当许多国家威胁行动者团体越来越依赖开放源代码和商品软件进行运营时,Turla继续开发自己独特的,先进的恶意软件和工具,并采用新的攻击和混淆方法。它使用这些TTP以及较旧的技术和通用的开源工具。由于这些原因,Insikt Group评估了Turla Group在未来几年内仍将是一个活跃的,先进的威胁,这将继续以独特的运营理念感到惊讶。

 

但是,该组织的一致模式以及针对长期活动的独特恶意软件的稳定和定期更新版本的使用,可能会使防御者主动跟踪和识别Turla的基础架构和活动。这项研究检查了Turla的运营历史,并提供了我们的方法来识别Turla当前正在使用的基础架构,重点关注几种与Turla相关的恶意软件类型。此报告提供了其中两个的详细信息-复合式Mosquito后门和被劫持的伊朗TwoFace ASPX Web Shell。

 

Recorded Future已向我们的客户提供了一份详细的报告,其中包括对与Turla相关的其他恶意软件家族的进一步研究和检测,该报告可在Recorded Future平台中获得。

 

关键判断

 

  • 可以根据Turla Group的恶意软件和C2通信的独特功能对其进行跟踪。此外,Turla在避免检测和混淆归因尝试时使用开放源代码工具,还使研究人员可以快速分析和构建检测结果,因为源代码易于进行分析和测试。
  • 在2019年6月,Turla Group被发现渗透到伊朗威胁组织APT34的计算机网络运营基础架构中。这等于是另一个国家的行为者有效地接管了一个民族国家集团的计算机网络业务,这是前所未有的行动。Insikt Group评估说,Turla Group对APT34基础设施的使用本质上是机会主义的,伊朗和俄罗斯组织之间没有进行协调。
  • 根据NSA / NCSC报告中的记载,Recorded Future充满信心地评估TwoFace是伊朗的APT34 ASPX外壳Turla正在扫描以转向其他主机。我们估计,截至2020年1月下旬,任何活动的TwoFace弹壳都可能成为Turla集团的潜在运营资产。
  • 在2019年,Turla开始严重依赖PowerShell脚本进行恶意软件安装。以前,它还主要针对Microsoft漏洞以及电子邮件服务器。Turla还经常使用受损的WordPress网站作为其C2基础架构的基础。
  • 在我们研究的恶意软件中,Turla主要使用HTTP / S进行命令和控制(C2)通信。

 

背景

 

Turla早在2008年就已将目标对准五角大楼,并一直将目标对准北约国家。Turla的主要目标包括出版和媒体公司,大学/学术界和政府组织,通常专门针对科学和能源研究,远程和地方外交事务以及军事数据。Turla积极瞄准欧洲和独联体国家,历来专注于外交事务或国防部以及类似的政府组织和附属研究机构。

 

Turla以使用水坑攻击(破坏网站以访问者为目标)和鱼叉式运动精确攻击特定的关注实体而闻名。Turla还使用了开箱即用的发明技术,包括使用卫星从北非和中东偏远地区窃取数据。该组织因使用未更改和定制版本的开源软件(例如Meterpreter和Mimikatz)以及定制的恶意软件(例如Gazer,IcedCoffee,Carbon和Mosquito)而闻名。

 

Turla运营商还垄断了第三方基础架构或使用了错误的标志,以进一步实现其目的。在许多情况下,该组织已将受到感染的网站(通常是WordPress网站)用作感染媒介和C2通信的运营基础架构。

 

在2019年6月,赛门铁克的研究人员确定Turla已渗透到伊朗威胁组织APT34计算机网络操作基础架构中,收集并泄露了伊朗的运行信息,同时还可以接触到活跃的伊朗人受害者。

 

Turla劫持伊朗的APT34业务的一部分包括使用现有APT34受害者网络扫描并发现其Web Shell,以在至少35个不同国家的IP地址上扫描特定Web Shell。一经确定,Turla便利用这些炮弹在感兴趣的受害者中立足,然后部署了更多工具。

 

TwoFace 是APT34的主要网络外壳,于2015年首次发现,并且Recorded Future高度自信地评估了TwoFace是Turla正在扫描以转向其他主机的外壳。我们估计,截至2020年1月下旬,任何活动的TwoFace弹壳都可能成为Turla集团的潜在运营资产。

 

Turla还从他们自己的基础结构中直接访问了APT34 Poison Frog工具的C2面板,并通过下载Turla工具将该任务访问了受害者。

 

威胁分析

 

迄今为止,Turla Group劫持伊朗计算机网络运营资源的行为在已知威胁行为者中是独一无二的。这一行动等于是另一个国家的国家行为者有效地接管了一个国家集团的计算机网络业务。

 

尽管伊朗和俄罗斯组织有可能以某种方式进行合作,但Insikt Group可获得的证据并不支持这一理论。例如,虽然Turla对APT34工具和操作有深刻的了解,但他们需要扫描伊朗的Web Shell,以查找这些工具的部署位置。我们估计,图尔拉介入伊朗行动很可能是不协调的,因此是敌对的。

 

尽管Insikt Group评估了Turla Group使用APT34基础设施本质上是机会主义的,但对于运营商而言,额外的好处可能是欺骗事件响应者,他们有可能将这些工具识别为伊朗来源。Turla在使用伊朗工具之前已重用了其他威胁行为者的恶意软件,包括在2012年使用了中国归因的Quarian恶意软件。在这种情况下,卡巴斯基研究人员评估了Turla行为者先下载然后卸载了Quarian恶意软件,以试图发现后转移并欺骗事件响应者。

 

除了进行大胆的伊朗业务外,Turla还同时进行了其他运营和开发活动。在2019年,Turla开始大量使用PowerShell脚本,可能是为了避免在磁盘上发现恶意文件。在这一年中,他们增加了对PowerShell脚本的使用,使用了PowerSploit和PowerShell Empire,并开发了自己的Powershell后门PowerStallion。

 

虽然Turla最常针对Microsoft Windows操作系统,但他们也有意利用了电子邮件服务器。LightNeuron后门专门设计用于在Microsoft Exchange邮件服务器上运行,而Outlook后门则设计用于在Exchange和The Bat!上运行(在东欧很受欢迎)电子邮件服务器。威胁邮件服务器使Turla可以控制目标网络上的电子邮件流量,不仅可以监视电子邮件,还可以创建,发送甚至阻止电子邮件。

 

Turla依靠受感染的WordPress网站作为C2。自2014年甚至更早以来,他们还定期使用以WordPress为中心的URL名称进行有效负载传递。这种趋势使他们的C2和有效载荷URL的配置文件可以发现新的Turla基础设施。

 

Turla操作已与各种自定义恶意软件相关联。Insikt Group对其中几种恶意软件类型进行了更深入的分析,以创建扫描规则以检测从2019年12月到2020年1月活跃的与Turla相关的实时基础架构。

 

Turla高级检测分析

 

我们分析的重点是针对Turla的识别方法的开发,重点是与Turla相关的几种恶意软件类型。此报告提供了我们对复合式Mosquito后门和被劫持的伊朗TwoFace网络外壳进行分析的详细信息。

 

蚊虫控制器检测

 

2018年1月,ESET报告了一个名为Mosquito 的新后门,他们观察到Turla在入侵分析过程中使用了它。蚊子的交付和安装有多个组件,例如:

 

  • 使用木马化的Adobe安装程序
  • 使用Metasploit shellcode下载Adobe Flash安装程序的合法副本和Meterpreter副本,以便能够下载和安装Mosquito安装程序
  • 具有加密有效负载的安装程序
  • 执行主要后门“ Commander”的启动器

 

Mosquito是Win32远程访问木马(RAT)。该恶意软件包括三个主要组件:安装程序,启动器和后门组件(有时称为CommanderDLL)。最初使用Metasploit shellcode并安装Meterpreter以获得对受害者的控制后,该Mosquito恶意软件已被删除。它具有以下功能:

 

  • 下载文件
  • 创建过程
  • 删除文件
  • 上传文件
  • 执行shell命令
  • 执行PowerShell命令
  • 添加C2服务器
  • 删除C2服务器

 

指挥官是蚊子后门的主要组成部分。在这项研究中,我们的分析主要集中在Commander的C2通信上。有关蚊子包装其他方面的详细信息,ESET研究人员进行了详尽的分析。

 

ESET对从Commander到C2的通信的分析表明,与控制器之间的通信是通过HTTP或HTTPS发送的。在客户端,可以将数据作为GET请求中的参数,cookie或POST的参数和有效负载(如下图所示)发送。在控制器端,响应和命令作为HTTP有效负载发送。

 

信标

 

来自蚊子“ Commander”后门的信标,带有在POST参数和有效负载中发送的加密数据。

 

如上所示,发送到控制器的数据不是明文形式的。它首先受到加密例程的保护,该例程使用Blum Blum Shub伪随机数生成器创建用于XOR编码明文数据的字节流。然后将所得数据进行Base64编码。

 

要加密或解密,加密过程需要密钥和模数。正如ESET所报告的,以及Insikt Group在分析期间所观察到的,模量“ 0x7DFDC101”被硬编码。密钥没有经过硬编码,而是在客户端和控制器之间的每次交换中随机生成的,因此每次传输的密钥都不相同。此随机密钥作为C2通信的一部分发送,可以轻松提取。Insikt Group的分析师已经逆转了这种伪随机数生成器的实现,并使用Python创建了一个解码器脚本,该脚本可以在我们的GitHub存储库中找到。

 

来自Insikt Group的ESET的镜像分析发现,在发送的数据之前有标头信息。头解密后,包含以下字段:

 

领域 长度 描述
启动键 双字 用于解密数据的起始密钥
ID 字节 指示用于C2通信的不同方法的值。可用的ID包括0x85(带有可能的自定义标头的HTTP Get),0x87(HTTP POST传输),0x88(带有Cookie的HTTP GET)和0x89(HTTP GET)
弦长 字节 字符串字段的长度
变量1-4 BYTES 代表ASCII十进制数表示形式的两个十六进制BYTES。0x37,0x32(HEX)== 72(十进制)== H(ASCI)I
MAC地址 QWORD 主机的MAC地址
空值 双字 没有价值
资料长度 双字 URL中数据段的长度
资料(URL) 变量 包含一个28 BYTE标头,然后是数据;数据也是使用硬编码密钥0x3EB13加密的Blum Blum Shub;我们已经观察到,当数据作为POST发送时,该字段包含垃圾值
数据(POST) 变量 作为POST发送的数据不包含类似于URL方法的标头。与URL方法一样,使用硬编码密钥0x3EB13对数据进行Blum Blum Shub加密

 

解密的Mosquito Commander标头信息。

 

对Commander后门的进一步分析表明,来自控制器的预期响应是HTTP / S数据包,其中有效负载经过Base64编码,然后以与C2信标数据包相同的方式进行加密。如果成功解码了响应,则检查第一个字节,如果等于28,则将解析数据的其余字节。如果第一个字节等于0x27,则C2响应不执行其他任何操作。

 

蚊子指挥官C2

 

Mosquito Commander C2响应处理代码。

 

指挥官被动扫描

 

使用urlscan.io之类的开源工具以及Insikt Group开发的专有扫描方法,被动扫描可寻找受损主机的迹象,并重新传回控制器。查询将搜索GET或POST资源字符串“ /scripts/m/query.php?id=”的静态方面,如以下链接所示:

 

 

带有urlscan.io的此查询的近期结果示例包括:

 

  • 204.193.62.62 /scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO ...
  • 204.193.62.62 /scripts/m/query.php?id=eQV0AKBGOorB/sB6ZkIU0e+KQOWiwulq ...
  • 77.232.99.77 /scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQ...

 

上面的URL与典型的Mosquito URL模式完全匹配。使用上面提到的Python解码器脚本,我们可以尝试解码URL的加密部分“ eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO…”。脚本的结果如下所示。

 

指挥官URL字符串

 

解密的urlscan.io Commander URL字符串。

 

运行解码脚本后,由于能够提取受感染设备的ID,字符串值和MAC地址,因此可以确定标头的开头已正确解码。对于这两个IP,无法解码数据段,但是考虑到ID为0x87,这是预料之中的,这表明这是H​​TTP POST,而我们希望解码的实际数据在HTTP有效负载中,而不是参数中。基于此分析,我们以中等可信度评估这些IP是蚊帐控制器。

 

TwoFace Web Shell检测

 

TwoFace Web外壳最初是由Palo Alto Unit42研究小组发现和分析的,后来归因于与他们相关的组OilRig,该组通常与APT34相关。如前所述,Turla扫描了TwoFace ASPX Web Shell的存在,然后尝试访问和下载Snake或其他恶意软件。我们认为,其中许多Web Shell现在可能是Turla的运营资产,不再受APT34的控制。

 

TwoFace Web Shell实际上是两个Shell:一个初始加载程序Shell,另一个是功能齐全的Web Shell,使操作员可以更好地控制网站。这两个组件都是用C#编写的,旨在使用Active Server Page Extended(ASPX)文件在支持ASP.NET的Web服务器上运行。TwoFace是具有以下功能的远程访问木马:

 

  • 执行程序
  • 执行shell命令
  • 上传文件
  • 修改档案
  • 删除文件
  • 下载文件
  • 时间戳记(修改文件时间戳记)

 

通过类似于下图的控制面板来访问Web Shell。然后,威胁参与者必须进行身份验证才能执行其他操作。但是,即使没有身份验证,此特定.aspx文件的存在也足以确定TwoFace Web Shell的存在。

 

TwoFace Web Shell面板

 

TwoFace Web外壳面板。

 

TwoFace Web Shell发现详细信息

 

Insikt Group创建了一个专有工具来扫描TwoFace Web Shell的URL。下表中列出了使用该工具扫描TwoFace Web Shell的配置。

 

规则名称 HTTP方法 收集过滤器 HTTP头 HTTP有效负载 预期的控制器响应(RegEx)
Turla_TwoFace_Webshel​​l_Detection 得到 .aspx 不适用 不适用 “ function use(){var n = document; var d = n.getElementById(“ d”)。innerHTML; d = d.substring(0,d.lastIndexOf('\\')+1); n.getElementsByName(“ cmd”)[0] .value + = d; n.getElementsByName(“ sav”)[0] .value + = d; n.getElementsByName(“ don”)[0] .value + = d; }”

 

TwoFace Web Shell的扫描仪配置。

 

此配置将首先从源列表中收集路径中带有“ * .aspx”文件名的所有URL。Recorded Future扫描仪将连接到每个URL。通过连接,我们拉出.aspx文件的内容,如下图所示。

 

文件检索

 

.aspx文件的自动检索。

 

然后,我们在响应中搜索已知的TwoFace Web Shell字符串,以确定URL是否通向TwoFace Web Shell。Insikt Group的分析师将下图中的JavaScript代码段用作TwoFace Web Shell的指示器。

 

JavaScript代码

 

TwoFace Web Shell检测中使用的JavaScript代码。

 

外表

 

Turla Group是一个复杂的威胁参与者,尽管许多民族组织越来越依赖于开源和商品软件来进行运营,但Turla仍在继续开发自己独特的高级恶意软件。Reductor RAT是Turla 于2019年底首次发现的一种新型恶意软件,它就是这种创新的一个例子。Insikt Group预计将在2020年继续使用Reductor RAT。

 

在仍然使用有效的较旧技术(如带有Gazer和Outlook后门的虚拟文件系统)时,Turla一直采用更新的方法,如Reducor更改浏览器伪数生成,并不断开发新工具,例如最近的.NET和PowerShell后门。

 

如前所述,这并不意味着Turla不使用任何通用工具。Turla定期使用开源工具,包括Mimikatz和Metasploit作为Mosquito后门的传送机制。

 

Turla Group被Insikt Group评估为资金雄厚,先进的民族国家集团,多年来一直活跃并改善其工具和做法。尽管我们预计其目标和做法会随着时间的推移而变化,但Insikt Group估计Turla Group在未来几年仍将是一个活跃的高级威胁,这将继续以其独特的运营理念感到惊讶。但是,该小组的一致模式以及针对长期活动的独特恶意软件的稳定和定期更新版本的使用,可能会在将来主动跟踪和识别其基础架构和活动。

 

完整PDF: https://go.recordedfuture.com/hubfs/reports/cta-2020-0312.pdf

0 0 vote
Article Rating

未经允许不得转载:x-sec » Insikt Group发布《Turla APT基础设施的跟踪报告》

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x