Turla Mosquito行動的發展趨勢分析

Turla是一個臭名昭着的間諜組織，至少已經活躍了十年。它在2008年攻擊美國國防部時被曝光[1]。此後，Turla涉及了多起政府和國防工業等敏感企業的安全事件[2]。

我們2018年1月的白皮書[3]首次公開分析了Turla Mosquito行動。我們還公布了IoC名額[4]。從那以後，Mosquito行動一直非常活躍，攻擊者一直在忙着改變政策，盡可能隐身。

從2018年3月開始，我們觀察到該行動發生了重大變化：現在它利用開源開發架構Metasploit，放棄了定制的Mosquito後門。當然，這并不是Turla第一次使用通用工具。過去，我們已經看到了使用開源的密碼dump工具，如Mimikatz。然而，據我們所知，這是Turla首次将Metasploit用作第一階段後門，而不是依靠自己的工具，如Skipper [5]。

傳播

正如我們之前的分析[3]所描述的那樣，典型的Mosquito行動其攻擊媒介仍然是一個僞裝的Flash安裝程式，實際上其安裝了Turla後門和合法的Adobe Flash Player。其典型的目标仍然是東歐的使領館。

我們展示了當使用者通過HTTP從get.adobe.com下載下傳Flash安裝程式時發生的危害。在終端和Adobe伺服器之間的節點上截獲流量，Turla的營運者用木馬化版本替換了合法的Flash可執行檔案。下圖顯示了理論上可以攔截流量的不同節點。請注意，我們認為可以排除第五種可能性，因為就我們所知Adobe/Akamai沒有受到危害。

盡管後來發現無法攔截流量，但我們發現了一個仍在模拟Flash安裝程式的新可執行檔案，名為flashplayer28_xa_install.exe。是以，我們認為最早的攻擊方法仍在使用中。

分析

在2018年3月初，作為定期追蹤Turla的一部分，我們觀察到了Mosquito行動的一些變化。盡管他們沒有采用開創性的技術，但這是Turla戰術、技術和程式（TTPs）的重大轉變。

以前，感染鍊是一個僞裝的Flash安裝程式釋放一個加載程式和主後門。如下圖所示：

最近，我們觀察到最終後門投放的方式發生了變化。Turla的行動仍然依賴僞裝的Flash安裝程式，但不是直接釋放這兩個惡意DLL，而是執行Metasploit shellcode，并從Google Drive中下載下傳合法Flash安裝程式并安裝。之後，shellcode下載下傳一個Meterpreter，這是一個典型的Metasploit有效載荷[6]，允許攻擊者控制被入侵的機器。最後，機器可能會收到典型的Mosquito後門。下圖總結了新的過程。

由于使用了Metasploit，我們猜測操作人員會手動進行利用過程。攻擊的時間架構相對較短，因為最後的後門在入侵開始後的三十分鐘内被投放。

shellcode是一個典型的Metasploit shellcode，使用shikata_ga_nai編碼器[7]進行七次疊代保護。下面的螢幕截圖顯示了編碼和解碼的有效載荷。

一旦shellcode被解碼，它會通過https://209.239.115 [.] 91/6OHEJ聯系C＆C，指導下載下傳另一階段的shellcode。根據遙測技術，我們确定下一個階段是Meterpreter。該IP位址已被指向之前看到的Mosquito的C＆C域名psychology-blog.ezua [.] com，該域名于2017年10月正式解析。

最後，僞裝的Flash安裝程式從Google Drive URL下載下傳合法的Adobe安裝程式，然後執行該安裝程式，讓使用者認為所有内容都正确無誤。

其它工具

除了新的僞Flash安裝程式和Meterpreter，我們還觀察到其他幾個被使用的工具。

· 一個隻包含Metasploit shellcode的自定義可執行檔案，用于維護對Meterpreter會話的通路。它被儲存到：C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msupdateconf.exe，開機自啟動。

· 另一個用于執行PowerShell腳本的自定義可執行檔案。

· 使用Google Apps腳本作為C&C伺服器的Mosquito JScript後門程式。

· 使用Metasploit子產品ext_server_priv.x86.dll [8]進行權限提升。

總結

本文介紹了過去幾個月Turla Mosquito行動的發展趨勢。我們觀察到的主要變化是使用開源滲透測試項目Metasploit作為定制Mosquito後門的第一階段。這對防禦針對涉及Turla的攻擊事件做出事件響應可能有參考價值。

C&C

· https://209.239.115[.]91/6OHEJ

· https://70.32.39[.]219/n2DE3

合法Flash installer的連結

· https://drive.google[.]com/uc?authuser=0&id=1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP&export=download

IoCs

參考文獻

[1] B. KNOWLTON, “Military Computer Attack Confirmed,” New York Times, 25 08 2010. [Online]. Available: https://www.nytimes.com/2010/08/26/technology/26cyber.html?_r=1&ref=technology. [Accessed 09 04 2018].

[2] MELANI, ” Technical Report about the Malware used in the Cyberespionage against RUAG,”

23 05 2016

. [Online]. Available: https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag.html.

[3] ESET, “Diplomats in Eastern Europe bitten by a Turla mosquito,” ESET, 01 2018. [Online]. Available: https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf.

[4] ESET, “Mosquito Indicators of Compromise,” ESET,

09 01 2018

. [Online]. Available: https://github.com/eset/malware-ioc/tree/master/turla#mosquito-indicators-of-compromise.

[5] M. Tivadar, C. Istrate, I. Muntean and A. Ardelean, “Pacifier APT,”

01 07 2016

. [Online]. Available: https://labs.bitdefender.com/wp-content/uploads/downloads/pacifier-apt/.

[6] “About the Metasploit Meterpreter,” [Online]. Available: https://www.offensive-security.com/metasploit-unleashed/about-meterpreter/.

[7] “Unpacking shikata-ga-nai by scripting radare2,”

08 12 2015

. [Online]. Available: http://radare.today/posts/unpacking-shikata-ga-nai-by-scripting-radare2/.

[8] “meterpreter/source/extensions/priv/server/elevate/,” Rapid7,

26 11 2013

. [Online]. Available: https://github.com/rapid7/meterpreter/tree/master/source/extensions/priv/server/elevate.

原文釋出時間為：2018-05-29

本文來自雲栖社群合作夥伴“

嘶吼網

”，了解相關資訊可以關注“

”。