《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 阿富汗動亂后,Turla APT開始種植新的后門

阿富汗動亂后,,Turla APT開始種植新的后門

2021-09-23
來源:嘶吼專業(yè)版
關(guān)鍵詞: TurlaAPT 后門

  研究人員報(bào)告說,Turla高級持續(xù)性威脅(APT)組織又回來了,,他們使用了一個(gè)新的后門來感染阿富汗、德國和美國的系統(tǒng),。研究人員說,,他們已經(jīng)發(fā)現(xiàn)了可能是Turla集團(tuán)(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一個(gè)俄羅斯籍的APT組織的攻擊行為,。他們指出,,這些攻擊很可能會使用一個(gè)隱蔽的second-chance后門來維持被感染的設(shè)備的訪問權(quán)限。

  “second-chance ”的含義是指,,它很難被清除,,即使被感染的機(jī)器清除了主要的惡意軟件,攻擊者也能繼續(xù)保持對系統(tǒng)的訪問,。

  據(jù)報(bào)道,,這個(gè)被稱為TinyTurla的新型后門可以用來投放有效載荷,上傳或執(zhí)行文件,。它還可以被用作第二級投放器,,使用其他的惡意軟件來感染系統(tǒng)。同時(shí),,后門代碼也相當(dāng)簡單,,但執(zhí)行效率很高,它通??梢岳@過殺毒軟件,。

  TinyTurla是如何進(jìn)行攻擊的

  研究人員表示,攻擊者會將TinyTurla偽裝成 “Windows Time Service ”服務(wù),,同時(shí)用于同步運(yùn)行在活動目錄域服務(wù)(AD DS)中的系統(tǒng)的日期和時(shí)間,。

  TinyTurla還模仿合法的Windows時(shí)間服務(wù),能夠上傳,、執(zhí)行或竊取文件,。該后門通過HTTPS加密通道每五秒鐘與一個(gè)命令和控制(C2)服務(wù)器聯(lián)系,來檢查新的命令,。

  由于TinyTurla的功能有限且編碼簡單,反惡意軟件工具很難檢測到它是惡意軟件,。這也就解釋了為什么盡管攻擊者從 2020年 就開始部署它,,但是它一直沒有被發(fā)現(xiàn)。Turla在安全行業(yè)是眾所周知的,,并且也受到了安全行業(yè)的密切關(guān)注,。然而,他們還是使用了這個(gè)后門進(jìn)行攻擊持續(xù)了兩年之久,,這很清楚地表明,,我們在防御方面還有很多改進(jìn)的余地。

  然而,,網(wǎng)絡(luò)流量中的那個(gè)每五秒鐘執(zhí)行一次的情況可以被一些防御系統(tǒng)發(fā)現(xiàn),,他們指出,這是一個(gè)很好的例子,這說明了將基于網(wǎng)絡(luò)行為的檢測納入到你的安全體系中是多么的重要,。

  TinyTurla軟件攻擊的具體方式

  攻擊者使用了一個(gè),。BAT文件,該文件將TinyTurla安裝為一個(gè)看起來很正常的微軟Windows Time服務(wù),,并且還在注冊表中設(shè)置了后門使用的配置參數(shù),。

  該惡意軟件的DLL ServiceMain啟動功能除了執(zhí)行一個(gè)被稱為 “main_malware ”的函數(shù)外,其他的什么都沒有做,,并且該函數(shù)包括了后門代碼,。他們認(rèn)為這個(gè)動態(tài)鏈接庫(DLL)相當(dāng)簡單,它僅由幾個(gè)函數(shù)和兩個(gè) “while ”循環(huán)組成,。

  研究人員指出,,雖然Turla經(jīng)常使用復(fù)雜的惡意軟件,但該組織也會使用像這樣的很簡單的惡意軟件來掩人耳目,。

  不過,,APT行為者的攻擊并不完美,在防檢測方面也犯過很多錯誤,。例如,,Talos已經(jīng)監(jiān)測到了許多Turla的攻擊行動,在他們的活動中,,他們會經(jīng)常重復(fù)使用被攻擊的服務(wù)器進(jìn)行操作,,他們一般會通過SSH訪問,而且還由Tor保護(hù),。因此認(rèn)為這個(gè)后門是Turla組織的一個(gè)原因是,,他們使用的基礎(chǔ)設(shè)施與他們用于其他攻擊的基礎(chǔ)設(shè)施相同,這些攻擊被溯源來自于他們的Turla基礎(chǔ)設(shè)施,。

  誰是Turla,?

  根據(jù)卡巴斯基的研究,Turla APT可以追溯到2004年或更早,。今年1月,,該公司表示,Turla惡意軟件可能會被用于SolarWinds攻擊,,因?yàn)榭ò退够芯咳藛T發(fā)現(xiàn),,在那一系列供應(yīng)鏈攻擊中使用的Sunburst后門與Turla的Kazuar后門的代碼存在相似性。

  當(dāng)時(shí),,卡巴斯基將Turla認(rèn)為 “這是一個(gè)復(fù)雜的網(wǎng)絡(luò)攻擊平臺,,主要集中在外交和政府相關(guān)的目標(biāo)上,特別是在中東,、中亞和遠(yuǎn)東亞洲,、歐洲,、北美和南美以及前蘇聯(lián)集團(tuán)國家?!?/p>

  APT組織已經(jīng)開發(fā)了一個(gè)巨大的武器庫來使自己的攻擊性更強(qiáng),。除了可能與SolarWinds中使用的Sunburst后門有關(guān),Turla還與Crutch等知名惡意軟件有關(guān),。該軟件在去年12月針對歐盟國家的間諜攻擊中使用了Dropbox,。此外,還與Kazuar后門有關(guān),,Palo Alto Networks在2017年將其描述為一個(gè)具有API訪問功能的多平臺間諜后門,。

  研究人員指出,對俄羅斯攻擊者的監(jiān)測,、技術(shù)證據(jù)的采集,、以及戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的研究都有助于在這個(gè)最新的案例中追溯到Turla,。

  用于針對阿富汗政府進(jìn)行攻擊

  思科的Talos首次發(fā)現(xiàn)了TinyTurla后門,,當(dāng)時(shí)它在塔利班政變和西方軍事力量撤出的準(zhǔn)備階段開始針對阿富汗政府進(jìn)行攻擊。

  管理員通常很難核實(shí)所有的正在運(yùn)行的服務(wù)都是合法的,,它需要進(jìn)行網(wǎng)絡(luò)監(jiān)控,,提醒安全團(tuán)隊(duì)注意這些感染。同時(shí),,最重要的是要有檢測運(yùn)行未知服務(wù)的軟件或自動系統(tǒng),,以及一支能夠?qū)赡苁芨腥镜南到y(tǒng)進(jìn)行適當(dāng)取證分析的專業(yè)人員隊(duì)伍。

  研究人員最后敦促各個(gè)組織采用多層次的安全架構(gòu)來檢測這類攻擊,,攻擊者設(shè)法繞過一個(gè)或兩個(gè)安全措施并非不可能,,但他們要繞過所有的這些措施那就難多了。

  他們預(yù)計(jì)Turla攻擊活動可能會在可預(yù)見的未來繼續(xù)進(jìn)行下去,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected]