返回新闻列表

Epic Snake:解密Turla网络间谍攻击行动

        “Epic”行动是Turla多阶段感染和攻击行动中的第一阶段。

        Turla,又被称为Snake或Uroburos,是目前发现的最为复杂的网络间谍攻击行动之一。首个发布的Turla/Snake/Uroburos研究报告并未解答一个重要问题,即受害者是如何被感染的?

        卡巴斯基实验室针对这一攻击行动的最新研究揭示出,Epic是Turla感染机制中的第一个阶段。

Turla纵览:

  • Epic Turla / Tavdig:第一阶段感染机制
  • Cobra Carbon系统 / Pfinet(+其他):中间升级和安装通讯插件
  • Snake / Uroburos:高级恶意软件平台,包括一个rootkit和虚拟文件系统

受害者:

        “Epic”项目至少始于2012年,并且据观察,在2014年1月至2月期间最为活跃。2014年8月5日,卡巴斯基实验室检测到该项目试图攻击卡巴斯基产品用户。

        “Epic”的攻击目标可以分为以下几个类别:政府机构(内务部、贸易和商务部、外交部/对外事务部和情报部门)、大使馆、军事组织、研究和教育组织以及制药企业。

        大多数受害者均位于中东和欧洲,但是我们在其他地区也发现了受害者,包括美国。卡巴斯基实验室的安全专家总计发现数百个受害者IP地址,分布于超过45个国家,其中法国的受害者位居首位。

攻击:

        卡巴斯基实验室的研究人员发现,Epic Turla攻击者使用了零日漏洞利用程序、社交工程技巧以及水坑式攻击感染受害者。

        过去,攻击者至少会使用两种零日漏洞利用程序,一种用于在Windows XP和Windows Server 2003(CVE-2013-5065)中提升权限,允许Epic后门程序获得管理员权限,在系统中不受限制地运行;另一种漏洞利用程序利用Adobe Reader(CVE-2013-3346)漏洞入侵系统,通常通过恶意邮件附件进行传播。

        毫无防备的用户在存在安全漏洞的系统中打开恶意PDF文件时,计算机会自动被感染,从而令攻击者立即获得受攻击系统的完全控制权。

        攻击者会同时使用直接的鱼叉式钓鱼邮件攻击和水坑式攻击感染受害者。根据入侵受害者所使用的初始感染手段,本次行动中检测到的攻击可分为以下几类:

  • 包含Adobe PDF 漏洞利用程序(CVE-2013-3346 + CVE-2013-5065)的鱼叉式钓鱼邮件攻击
  • 使用社交工程技巧,欺骗用户运行伪装成屏保文件(扩展名为.SCR)的恶意软件安装程序,这些文件有时候还会使用RAR打包
  • 利用Java漏洞利用程序(CVE-2012-1723)、Adobe Flash 漏洞利用程序(未知)或Internet Explorer 6,7,8漏洞利用程序(未知)进行水坑式攻击
  • 水坑式攻击需要利用社交工程技巧,欺骗用户运行假冒的“Flash Player”安装程序(其实为恶意软件)

        水坑指的是潜在受害者经常访问的网站。攻击者会事先攻陷这些网站,在其中注入恶意代码。然后根据访问者的IP地址(例如政府机构的IP地址),在网站上植入Java或浏览器漏洞利用程序、签名的假冒Adobe Flash Player软件或假冒的Microsoft Security Essentials。我们总共发现超过100个被注入恶意代码的网站。对于这些网站的选择也反映出攻击者的特定兴趣。例如,很多被感染的西班牙网站均属于当地政府机构。

        一旦用户的计算机被感染,Epic后门程序会立即连接命令和控制(C&C)服务器,将受害者系统信息打包发送到服务器。攻击中使用的后门程序又被称为“WorldCupSec”、“TadjMakhal”、“Wipbot”或“Tadvig”。

        一旦系统被攻陷,攻击者就会收到关于受害者的简要信息。基于这些信息,攻击者上传预先配置好的批处理文件,其中包含一系列需要执行的命令。除此之外,攻击者还会上传定制的横向移动工具。其中包括特定的键盘记录工具、RAR压缩程序以及一些标准工具,例如微软件的DNS查询工具。

Turla感染的第一阶段:

        分析过程中,卡巴斯基实验室的研究人员发现攻击者会使用Epic恶意软件部署一种更为复杂的后门程序—— “Cobra/Carbon系统”(也有些反病毒产品将其命名为“Pfinet”)。一段时间后,攻击者会进一步使用Epic更新“Carbon”配置文件,让它使用不同的命令和控制服务器。操作这两款后门程序需要的独特技能,这说明它们之间存在明显的直接关联。

        “针对‘Carbon系统’配置文件的更新很有趣,因为这是Turla幕后攻击者的另一个项目。这表明,我们遭遇的是一种多阶段的感染行为,其最先由Epic Turla开始。Epic Turla首先在系统中站住脚,验证需要攻击的受害者。如果攻击者对受害者感兴趣,就会在受感染系统中升级完整版的Turla Carbon系统”,卡巴斯基实验室全球研究和分析团队总监Costin Raiu解释说。

使用的语言:

        很显然,Turla背后攻击者的母语并非为英语。他们在恶意软件代码中经常出现错误的拼写和用法,例如:

  • Password it′s wrong!
  • File is not exists
  • File is exists for edit

        此外,还有其他线索暗示了攻击者的由来。例如,有些后门程序是在俄语系统上进行编译的。另外,有一款Epic后门程序的中间名称为“Zagruzchik.dll”,其在俄语中意为“bootloader(引导装载程序)”或“load program(载入程序)”。

        最后,Epic的控制面板将字符集编码设置为1251,而这正是斯拉夫字符的编码。

同其它威胁的关联:

        有趣的是,在我们发现的多起不同网络间谍攻击行动之间似乎存在关联。2014年2月,卡巴斯基实验室的专家发现Miniduke使用的用于管理受感染网页服务器的web-shell同Epic团队使用的一样。

        请访问Securelist.com,了解更多关于“Epic Turla”攻击行动的详情。