本文来源:绿盟科技

Turla组织概述

Turla，又名Snake，Uroburos，Waterbug，WhiteBear。由GData在2014年披露后，卡巴斯基、赛门铁克、ESET持续对该组织进行追踪和分析。根据该组织使用的恶意文件的编译时间，最早可以追溯到2011年。通过对代码及功能对比，可以追溯到2006年检测名称为Agent.BTZ的恶意文件与该组织有关联。因此可以推测出该组织早在2006年就已经开始进行攻击。

Turla组织使用了rootkit技术对计算机进行监控，完成数据窃取功能。这个方法在Windows早期版本的系统中非常实用，可以有效隐藏在计算机中，拥有较高权限。从Windows vista开始，微软加强了对第三方驱动加载过程的控制，需要获取证书并由用户同意才可以正常安装。因此Turla组织转而使用更复杂的侵入过程并植入不带rootkit套件的远控软件对信息进行采集，但这增大了被发现的几率。

Turla组织攻击目标包括政府机构、使馆、军事机构、教育机构、研究机构和制药公司。最初在攻击美国情报部门后被披露。近几年，该组织攻击了德国外交部，法国军队相关公司的服务器，窃取了大量的情报信息。

对Turla组织使用的恶意软件进行分析后，总结出以下信息：

       1、攻击者在编写恶意软件时输出的debug信息是英文，但不是母语；

       2、攻击者的基础设施来源于俄罗斯；

       3、攻击者使用的默认语言为俄语；

       4、Agent.BTZ中也出现了类似的痕迹。

因此，将其定为来源于俄罗斯的威胁攻击组织。

Turla组织入侵手法

Turla组织撕开防御设备的方法是通过运用社会工程学手段的鱼叉攻击以及水坑攻击来完成。

2.1 社会工程学攻击

在最初被发现的攻击过程中，攻击者使用了带有漏洞的PDF文件，并通过电子邮件进行投递。通过社会工程学诱导用户点击执行该PDF文件，并发送给同事或职位更高的人员。同时，附件中也存在“.SCR”扩展名的恶意软件安装程序，在安装时释放RAR文件并打开内置的正常PDF文件。 

图 正常的PDF文件

与此类似的攻击手法伏影实验室在4月发布的疫情攻击相关的文章也有详细分析。 

2.2 水坑攻击

2010-2016年间，该组织始终利用浏览器进行攻击，包括水坑攻击以及0day漏洞。攻击者对攻击网站植入下图中标识出来的恶意JavaScript脚本，当用户访问被攻陷的网站时，即执行该JavaScript脚本。

经过整理，我们获取了所有的曾经被攻击过的网站及其名称：

上述网站在14-17年间被用作水坑攻击的站点，这些站点被嵌入了JavaScript代码，在用户访问的时候执行，其功能大多为获取浏览器的插件列表，屏幕分辨率等信息。同时，Turla在进行攻击时会主动选择他们感兴趣的用户，下发恶意文件，而最为重要的一种形式是利用假的Adobe Flash安装包安装后门。

Turla比较有特点的攻击方式是利用Adobe进行攻击诱骗，这种结果也与捕获的方向有关，相当一部分政府的网站在建设成型以后，很少会快速迭代更新，使用更加先进的体系结构，而Adobe Flash这个存在大量漏洞的插件已经深度的整合在这些网站中。因此，在捕获相关威胁时，与Adobe Flash相关的攻击从未缺席。

2.3 MITM流量劫持与修改

Turla组织在进行攻击时，通过MITM（中间人攻击）来劫持Adobe的网络，使得用户在请求下载最新的软件更新包时，替换用户的下载内容，在用户无感的情况下下载恶意软件，并完成对目标主机的控制。但此种方式需要获取核心路由的权限，甚至需要针对企业/政府的关键节点进行劫持。

但是在用户侧观察到的攻击过程则显得非常简单，例如用户访问以下链接，该链接归属于Adobe公司，是Adobe的子域名，http://admdownload.adobe.com/ bin/live/flashplayer27_xa_install.exe，通过此链接下载Turla的恶意文件，但是该请求的http头中的referer字段被更改成了：

http://get.adobe.com/flashplayer/download/?installer=Flash_Player,这个地址与正常下载Adobe的域名相同，协议不同。分析认为，这里是为了绕过Adobe检测机制而插入的referer信息，以便于能够正常访问到admdownload.adobe.com。     

Turla攻击技术梳理

ATTfont-size:24px">Turla组织常用RAT简析

在侵入内部网络后，Turla组织会对目标进行筛选，挑选出感兴趣的，具有高价值信息的目标，并在感染设备上投放恶意软件。从2011年起至今，Turla被发现针对Windows、Linux、MacOS平台均开发了对应的恶意软件，持续窃取机密信息。

4.1 第一阶段后门——The Epic

该后门会对环境进行检测和处理，通过识别一些网络监测工具来判断是否可以执行，包括：tcpdump.exe、windump.exe、ethereal.exe、wireshark.exe、dsniff.exe。在与C2进行通信则采用了HTTP协议，通过对div>something/div>格式的内容进行解析，来获取C2下发的指令。

该后门用ID来对受害者进行标记，在第一次进行通信时，会发送带有计算机信息的数据包到C2，并且使用加密算法对发送内容进行加密，但是攻击者将密钥也通过这一方式进行传输，因此可以对流量进行解密分析。

当Turla组织根据回传信息判断出目标值得进行更进一步的攻击时，攻击者才会将第二阶段的后门部署在目标设备上。可以将第一阶段后门理解为Turla组织的攻击试探，这种方式能够有效的避免将Uroburos下载到无关设备上，减少暴露风险。

4.2 第二阶段后门——Uroburos

Uroburos是最为出名的一个后门，在Turla第一次被发现时，从被攻陷设备中提取出来的一个rootkit后门。攻击者在使用该后门时，同时也在使用一个加密的虚拟文件系统，以此来确保自己的攻击活动隐秘且高效。

Uroburos通过创建服务来保证自身能持续驻留在系统中，在注册表中可以找到如下键值信息：

HKLM\System\CurrentControlSet\Services\Ultra3

Uroburos的主要功能如下：

l  关键函数hook

l  解密虚拟文件系统

l  注入Ring3层

l  Cfont-size:18px">

4.6 第二阶段后门——Javascript后门

第一种JavaScript用于替换Mosquito后门，利用假的Adobe Flash Player安装包进行安装。

获取返回的数据，并用base64解码执行。

第二种JavaScript文件读取％programdata％\ 1.txt并使用eval函数执行其内容。在HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中添加local_update_check来开机启动。

4.7 第二阶段后门——KopiLuwak

此后门通过文档进行传播，利用宏进行攻击，在宏代码中，调试可以发现，该初始代码通过xor算法对数据进行解密，解密后的数据写入mailform.js文件中，释放文件存储在%APPDATA%\Microsoft\Windows路径下：

执行该mailform.js文件，传入参数NPEfpRZ4aqnh1YuGwQd0，该参数是R**密钥，负责解密内置的数据，解码后，仍然是一个JavaScript文件，该文件即为KopiLuwak后门。

移动自身文件，根据系统版本不同，转到不同文件夹中：

 c:\Users\USERNAME>\AppData\Local\Microsoft\Windows\mailform.js

c:\Users\USERNAME>\AppData\Local\Temp\mailform.js

c:\Documents and Settings\USERNAME>\Application Data\Microsoft\Windows\mailform.js

通过设置注册表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\来完成持久化驻留，键值为wscript.exe mailform.js “NPEfpRZ4aqnh1YuGwQd0”。

通过cmd.exe执行以下命令，并将结果写入与mailform.js同一目录下的~dat.tmp文件中，并使用R**算法对结果进行加密，密钥为“2f532d6baec3d0ec7b1f98aed4774843”，加密后删除原始文件：

systeminfo

net view

net view /domain

tasklist /v

gpresult /z

netstat -nao

ipconfig /all

arp -a

net share

net use

net user

net user administrator

net user /domain

net user administrator /domain

set

dir %systemdrive%Users*.*

dir %userprofile%AppDataRoamingMicrosoftWindowsRecent*.*

dir %userprofile%Desktop*.*

tasklist /fi “modules eq wow64.dll”

tasklist /fi “modules ne wow64.dll”

dir “%programfiles(x86)%”

dir “%programfiles%”

dir %appdata%

该后门内置了两个地址：http://soligro.com/wp-includes/pomo/db.php, http://belcollegium.org/wp-admin/includes/class-wp-upload-plugins-list-table.php，用于通讯，可以通过路径推断第二个网站使用了WordPress，并被攻击者攻陷，用于C2托管。

利用POST方法将前述加密数据发送到这两个网站其中任意一个中，其中发送的User-Agent字段除了使用"Mozilla/5.0 (Windows NT 6.1; Win64; x64);填充外，在末尾补充了当前计算机名称生成的一个UID，算法如下，其中zIRF代表字符串“KRMLT0G3PHdYjnEm”，Vxiu代表当前计算机用户名：

C2在接收到数据后，会回复四种指令：

 当接收到work指令时，会将搜集到信息全部发回C2，接收到fail指令时，则清理注册表HKEY_CURRENT_USER\software\microsoft\windows\ccurrentversion\run\中的数据。

总结

Turla组织是目前APT团伙中使用最为复杂攻击工具的组织之一，其目标涵盖了欧洲各国外交部，军队，欧洲、美洲等国家的情报部门。在前期的攻击活动中，该组织使用自研武器对外进行攻击，特征较为明显。在近几年，该组织转而大规模使用开源平台，如MSF、cobalt strike等构建的后门，入侵攻击，横向移动工具等，将自身行动掩盖在大量的攻击活动中，以期获得更多的情报信息，延缓被发现和检测的时间。

同时，该组织善于使用水坑网站对目标进行渗透，在很长一段时间内，都不容易被发现，因此对于该组织的防御应着重关注网页访问记录，排查伪造域名的政府、基础网站，以此来降低被攻击的风险。

IOC

40aa66d9600d82e6c814b5307c137be5

f4f192004df1a4723cb9a8b4a9eb2fbf

cb1b68d9971c2353c2d6a8119c49b51f

e1ee88eda1d399822587e***eac9b347

db93128bff2912a75b39ee117796cdc6

a67311ec502593630307a5f3c220dc59

a7853bab983ede28959a30653baec74a

2145945b9b32b4ccbd498d***419b39b

62e9839bf0b81d7774a3606112b318e8

cd4c2e85213c96f79ddda564242efec3b970eded8c59f1f6f4d9a420eb8f1858

bf6f30673cf771d52d589865675a293dc5c3668a956d0c2fc0d9403424d429b2

b51105c56d1bf8f98b7e924aa5caded8322d037745a128781fa0bc23841d1e70

8490daab736aa638***0b27c962a8250bbb8615ae1c68ef77494875ac9d2ada2

fc9961e78890f044c5fc769f74d8440fcecf71e0f72b4d33ce470e920a4a24c3

e7fd14ca45818044690ca67f201cc8cfb916ccc941a105927fc4c932c72b425d

b295032919143f5b6b3c87ad22bcf8b55ecc9244aa9f6f88fc28f36f5aa2925e

b362b235539b762734a1833c7e6c366c1b46474f05dc17b3a631b3bff95a5eec

b79cdf929d4a340bdd5f29b3aeccd3c65e39540d4529b64e50ebeacd9cdee5e9

244896995b6b83f11df944ccda41ed9f1f1d811ebf65d75fe4337fd692011886

05254971fe3e1ca448844f8cfcfb2b0de27e48abd45ea2a3df897074a419a3f4

26a1a42bc74e14887616f9d6048c17b1b4231466716a6426e7162426e1a08030

5d0973324b5b9492ddf252b56a9df13c8953577bdb7450ed165abbe4bf6e72d8

2a61b4d0a7c5d7dc13f4f1dd5e0e3117036a86638dbafaec6ae96da507fb7624

6e7991f93c53a58ba63a602b277e07f7

7481e87023604e7534d02339540ddd9565273dd51c13d7677b9b4c9623f0440b

d2a0eec18d755d456a34865ff2ffc14e3969ea77f7235ef5dfc3928972d7960f

05d07279ed123b3a9170fa2c540d2919

参考链接

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08080105/KL_Epic_Turla_Technical_Appendix_20140806.pdf

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082353/GData_Uroburos_RedPaper_EN_v1.pdf

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082358/uroburos.pdf

https://www.circl.lu/pub/tr-25/

https://www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf

https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/

https://unit42.paloaltonetworks.com/unit42-kazuar-multiplatform-espionage-backdoor-api-access/

https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf

https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/

https://securelist.com/shedding-skin-turlas-fresh-faces/88069/

https://securelist.com/kopiluwak-a-new-javascript-payload-from-turla/77429/

https://securelist.com/introducing-whitebear/81638/

https://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/

https://attack.mitre.org/groups/G0010/

关于伏影实验室

伏影实验室专注于安全威胁研究与监测技术，包括但不限于威胁识别技术，威胁跟踪技术，威胁捕获技术，威胁主体识别技术。研究目标包括：僵尸网络威胁，DDOS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁 及 新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

标签： 绿盟科技