恐怖的黑客组织——俄罗斯APT的Turla
不定期更新 关于黑客相关内容,对黑白帽子感兴趣的可关注微信公众号:python2048 转载请标明出处:
https://dujinyang.blog.csdn.net/article/details/88994695
本文出自:【奥特曼超人的博客】
为什么Turla和APT32会一直被各个国家所重视,因为,数据安全和经济并不仅仅是电影中才看得到,一些极端组织更会利用这些去构造不同的事件,所以,有些国家为了某些利益关系,更是会滋长这部分的势力,其它的留到 公众号 里说吧。
APT32的话可看上篇文章《带大家了解可怕的APT32海莲花黑客组织》
Turla由来
90年代著名网络间谍组织“月光迷宫”(Moonlight Maze)已经演变成了今天的Turla
APT,它们都具有或多或少相同的技术手段,且共同背景就是:与俄罗斯政府黑客相关。
首先,先来认识下月光迷宫,**“月光迷宫”(MOONLIT MAZE)**是一次网络攻击,在1996年10月7日,美国科罗拉多矿业大学网络遭黑客入侵,攻击者通过Sun OS4操作系统漏洞入侵了该校布朗大楼内一台昵称为“Baby_Doe”的电脑,他们以这台电脑为中转陆续入侵了美国国家航空航天局、美国海军和空军总部及遍及全美的高校和军事机构。
在 美国联邦调查局(FBI) 和国防部的共同调查下发现,入侵者窃取了从头盔设计到大气数据等大量美国机密信息,数量打印成稿的高度可堪比华盛顿纪念碑。随着调查继续深入,最终溯源为俄罗斯特工行为,由于其入侵活动多在夜间进行,且鉴于其行为复杂性,故命名为“月光迷宫”。
该网络入侵行为是历史上第一个已知的网络APT攻击。从那时起人们也意识到,网络间谍和网络战不仅只是好莱坞电影中的把戏,而是种真实存在。“月光迷宫”开启了网络间谍的篇章,也成为了很多黑客书籍中的经典案例。
在网络入侵活动中,黑客一般会利用中转或跳板机作为攻击代理,防止溯源调查,而“月光迷宫”入侵者也是最早采用该技术的攻击者。他们利用很多国家的一系列大学、图书馆等存在系统漏洞的机构电脑作为中转跳板,存储攻击工具,发起网络攻击,以此迷惑调查行为。
组织性和目标
以中国和美国等地的政府、军事、大使馆、研究和制药组职为入侵目标,之前也制作过Linux 木马。据说他们是受到俄罗斯政府支持。虽然他们会有行动,但执法机关一直没法知道他们所在何方,因为他们善于隐藏自己。
为什么难以查询
据说是利用了人造卫星,因为由于旧式人造卫星不能支援加密连线,Turla 就可以利用这个漏洞。另外,使用人造卫星服务的用家如果没有做好安全保护,就可以为Turla 提供机会。这样,Turla 便可以拦截卫星与用家之间的通讯。
其实 Turla 要准备的工具也不复杂。首先,要住在人造卫星的覆盖范围;第二,就是卫星天线,用作接收流量;第三就是固网(landline)的互联网连接。之后,Turla 的黑客就可以分析来自卫星的流量,再选择当时在线上的用户。
选定用户后,黑客就可以向受害者的电脑植入恶意软件,把他们流量转向未用的port,并透过卫星传出。正常而言,受害者会收到来自其他电脑的回应,但在卫星上网等慢速连接的情况下,电脑会直接忽视受害者发出的流量。
此时侯,黑客的C&C 伺服器就会透过固网上网来回应请求,之后受害者的电脑就会把资料传送到C&C。由于C&C 是在卫星巨大的覆盖范围之下,所以Turla 就可以隐身,侦查人员只可大海捞针。
-
旧版
早期的“月光迷宫”采用了一种不断尝试攻击反复试错的入侵手段,攻击者每当遇到目标服务器时,都会上传使用一个广谱黑客工具TAR压缩包,通过该压缩包中大量漏洞利用程序、捆绑文件、特定或开源工具、自动脚本进行尝试攻击,而其中的漏洞利用工具几乎来自于开源代码整编。攻击者以这种“普遍撒网”的方式大范围对目标开展入侵尝试,如果目标存在漏洞,进而进一步掌握控制。 -
改进的Linux网络监听工具“solsniffer”
攻击者利用整合了tcpdump和libpcap两种功能模式的类似于solsniffer的网络协议监听工具,对受害者网络系统进行混杂模式监听,同时产生了诸如telnet、pop3、ftp、rlogin等系统连接日志(参见附录A)。
可以说,“月光迷宫”攻击者使用的大部分工具都模仿或来源于安全论坛和一些安全通知邮件列表,在恶意软件混淆或伪装时代之前,这些都算是一些直截了当和目标明确的黑客工具,这种相对务实的功能实用性在现代恶意软件中很少见。
我们发现“月光迷宫”攻击者非常青睐使用LOKI2,该小巧精悍的Linux后门发布于90年代后期的Phrack网络杂志。它利用ICMP 协议,把信息隐藏在ICMP报文包内进行发送。攻击者一开始对LOKI2程序的编译名为lc,之后又编写了内部称为spy_cli.c的客户端程序,随着攻击活动的不断演变,攻击者对LOKI2也进行了不断的改进,开始加入了一些定制化的功能特性,如绕过FTP文件移动操作直接进行批量put/get的功能,而这也意味着我们无法发现其中一些隐蔽通信证据。
HRtest服务器上,LOKI2在的演变名称为lopg,并且与名为slok的程序共同发挥协同作用,slok程序是一个命令行方式的隐蔽邮件客户端应用。在利用LOKI2后门的基础上,攻击者还开发了一个utmp日志清扫工具对一些入侵行为动作进行扫尾。这足以说明LOKI2后门在攻击活动中的显著作用,同时也是我们调查取证的关键一环。
操作
早期传闻,全球领事馆和大使馆正被俄罗斯APT组织Turla监视,自定义加密和自动化操作一直是被人津津乐道的,Turla的受害者也包括瑞士国防公司,美国国务院和美国中央司令部等。
Turla后门CC攻击中,主要的后门是一个独立的DLL(动态链接库),它与Outlook和The Bat交互!电子邮件客户端,它通过使用COM对象劫持获得持久性。有了这个技巧,每次Outlook加载COM对象时都可以加载恶意DLL。与其他后门不同, Turla示例颠覆了Microsoft Outlook的合法邮件应用程序编程接口(MAPI),以访问目标邮箱并避免被检测到。
后门在完整列表下面实现了几个命令:
专家没有检测到任何PDF样本,包括后门命令,但他们能够创建这样的文档。
可以在GitHub上找到妥协指标(IoC)和样本的完整列表 。
感兴趣的后续可以 关注专栏 | 《黑客的世界》
|| 版权声明:本文为博主杜锦阳原创文章,转载请注明出处。