俄羅斯APT組織——Turla新面孔
Turla,也叫Waterbug、KRYPTON或Venomous Bear,是隸屬俄羅斯的APT組織。
2018年Turla在攻擊活動中主要使用KopiLuwak JS後門,KopiLuwak是Carbon框架和meterpreter傳播技術的的變種。下面分析Turla發展過程中使用的惡意軟體:
·KopiLuwak和IcedCoffeer
· Carbon
· Mosquito
· WhiteBear
技術分析
Turla使用指令碼
從2015年起,Turla就開始以各種方式使用JS、Powershell、wsh,包括應用到惡意軟體dropper或安裝過程中,也包括應用到完整的後門中。White Atlas框架在用VBA巨集程式碼解密惡意軟體dropper payload後,會用JS指令碼來執行payload,最後刪除dropper。釋放Firefox擴充套件後門的White Atlas樣本使用的是更加複雜和高度混淆的JS指令碼,該指令碼同樣負責寫入extension.json擴充套件配置檔案,最後刪除自己。
IcedCoffee
Turla最早使用的JS後門就是IcedCoffee後門,然後慢慢發展成功能更加複雜的KopiLuwak後門。IcedCoffee最初由一個RTF文件釋放,然後由啟用巨集的office文件釋放。用於釋放IcedCoffee的巨集程式碼是基於White Atlas發現的程式碼修改的。巨集程式碼中一個顯著的變化是加入了中繼基本資訊到Turla控制的伺服器的簡單的web beacon,而beacon只用於追蹤攻擊的有效性。
IcedCoffee用WMI來收集系統和使用者的資訊,然後base64編碼和RC4加密,最後通過HTTP POST發回給C2伺服器。IcedCoffee並沒有內建的命令,但是可以從C2伺服器接收JS檔案,接收的JS檔案會在記憶體中解混淆和執行,並不會在硬碟上留下什麼痕跡。IcedCoffee的應用並不廣泛,主要攻擊物件是歐洲政府的外交官。
KopiLuwak
2016年11月,Kaspersky實驗室發現了新一輪的武器化的巨集文件,會釋放高度混淆的JS payload——KopiLuwak。這款新惡意軟體的攻擊目標與Turla早期的工具活動目標都是歐洲政府,但其比IcedCoffee的應用更少。
KopiLuwak指令碼的解碼形式與IcedCoffee中的非常相似,但解碼的指令碼並不是最後一步。解碼的指令碼會以用作RC4 key的引數執行,key會解密另一層JS指令碼,指令碼含有收集的資訊資訊和代表執行功能的C2指令。KopiLuwak會執行更加綜合和複雜的系統和網路偵查,與IcedCoffee一樣,也不會在硬碟上留下什麼痕跡。
與IcedCoffee不同的是,KopiLuwak含有一個基本命令功能集,包含執行任意系統命令和解除安裝自己的能力。2017年,研究人員發現一個新版本的KopiLuwak,其中的命令功能集得到了擴充,加入了檔案下載和資料竊取功能。2018年中,KopiLuwak作為新的傳播向量出現在敘利亞和阿富汗的攻擊活動中。這裡,KopiLuwak後門被編碼為.lnk檔案傳播。用於解碼和釋放payload的powershell程式碼與一個月前Zebrocy威脅單元使用的幾乎完全相同。
Carbon
Carbon繼續被用於攻擊中亞地區的政府和與外交相關的機構。Carbon的攻擊活動可以追溯到2014年。2014年的Epic Turla攻擊活動是一起影響數百受害者的全球性攻擊活動。受害者系統中只有一小部分升級到了Carbon框架,另一部分接收到Snake rootkit用於駐留。因此,Carbon是需要很長曆史和選擇性分發的負責的程式碼庫,恰好與snake rootkit的開發和應用同時進行。今年,該程式碼庫被修改後與其他的變種一起應用到最新的攻擊活動中。
研究人員預測Carbon框架程式碼的修改和選擇性分發的性質會使其在2019年攻擊中亞和相關的地區。因為這種複雜的模組需要長期的開發和投入,而相關的載入器、注入器等都是開源的,因此該後門和基礎設施短期應該不會被取代。
Mosquito
Mosquito改變分發技術
2018年3月,研究人員發現關於Mosquito開始使用無檔案和定製的Posh-SecMod metasploit元件的報告。當該組織的metasploit使用被公開後,他們的技術也在改變。
DllForUserFileLessInstaller注入器模組的編譯日期為2017年11月22日,從2018年1月開始,被Mosquito用於向記憶體中注入ComRAT模組。與wow64相比,這只是一小部分metasploit注入器程式碼。相關的開源powershell登錄檔載入器程式碼也被修改來使用3DES而避免使用AES。下面是修改後的Mosquito程式碼:
下面是獲取的預設Posh-SecMod程式碼:
研究人員認為2018年Mosquito會出現更多的開源或無檔案的元件或記憶體載入器。惡意軟體功能的增強也說明攻擊者更希望維持對受害者組織的當前訪問,而不是開發出更具攻擊性的技術。
Mosquito
研究人員分析發現Mosquito是從adobe的一個下載連結,該連結是下載木馬下載器的一個合法URL:
hxxp://admdownload.adobe[.]com/bin/live/flashplayer23ax_ra_install.exe
研究人員當時並沒有識別出具體使用的MiTM技術,懷疑使用的是WiFi MiTM或路由器入侵;考慮到全球不同區域都受到影響,因此研究人員猜測是ISP級的FinFisher MiTM。
在攻擊案例中,磁碟中被寫入兩個js檔案,並配置為開機啟動。Js檔名說明了其功能,即通過Google應用升級,並通過每次開機載入和執行本地的1.txt檔案來保證本地配置檔案升級。這樣看來,這一階段的的指令碼載入技術與IcedCoffee JS載入技術類似。更新是由服務端提供的:
· google_update_checker.js
· local_update_checker.js
這裡需要考慮Mosquito Turla執行更新過程中的wifi資料收集。第一步是用下面的命令呼叫將local_update js檔案輸出本地主機的WiFi配置檔案到%APPDATA%\<profile>.xml中:
cmd.exe /c netsh wlan export profile key=clear folder="%APPDATA%"
然後,用ipconfig和arp -a來收集更多的網路資訊。基於主機來收集目標網路的WiFi憑證更容易,因此暴力破解和其他破解弱加密的WiFi網路就沒有必要了。
下一波攻擊活動
Turla缺席了DNC(美國民主黨全國委員會)被黑事件,而Sofacy和CozyDuke都參與了,但Turla在其他攻擊活動上比較活躍。Turla的Mosquito和Carbon專案的目標主要是外交和外交事務機構。而WhiteAtlas和WhiteBear的活動擴充套件到全球包括外交事務相關的機構,科技中心以及與政治不相關的組織也在改攻擊範圍內。KopiLuwak的攻擊範圍主要是政府外交相關機構,其2018年的攻擊活動也涉及政府相關的科技和能源研究機構,以及在阿富汗的政府相關的通訊機構。
從攻擊目標的角度看,KopiLuwak和WhiteBear活動的聯絡比較緊密,Mosquito和Carbon活動的關係比較緊密。而且WhiteBear和KopiLuwak在使用不常見的JS指令碼時還共享一些基礎設施。就像meterpreter和injector程式碼一樣,未來可能有更多的開源攻擊惡意軟體出現在Mosquito和Carbon攻擊中,KopiLuwak會傳播和分發更復雜的惡意軟體,WhiteBear也可能再次迴歸。