Den Schwanz der Schlange verschlucken: Verfolgung der Turla-Infrastruktur

Den Schwanz der Schlange verschlucken: Verfolgung der Turla-Infrastruktur

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Die Insikt Group® von Recorded Future hat im Rahmen einer eingehenden Untersuchung der jüngsten Turla-Aktivitäten neue Erkennungsmethoden für Turla-Malware und -Infrastruktur entwickelt. Zu den Datenquellen gehörten die Recorded Future® Platform, ReversingLabs, VirusTotal, Shodan, BinaryEdge und verschiedene OSINT-Werkzeuge. Die Zielgruppe für diese Studie umfasst Sicherheitspraktiker, Netzwerkverteidiger und Threat Intelligence Fachleute, die sich für den Betrieb russischer nationalstaatlicher Computernetzwerke interessieren.

Executive Summary

Turla, auch bekannt als Snake, Waterbug und Venomous Bear, ist eine gut etablierte, ausgeklügelte und strategisch ausgerichtete Cyberspionagegruppe, die seit über einem Jahrzehnt mit Operationen gegen Forschungs-, diplomatische und militärische Organisationen weltweit in Verbindung gebracht wird, mit einem anhaltenden Fokus auf Einrichtungen innerhalb der Nordatlantikpakt-Organisation (NATO) und der Gemeinschaft Unabhängiger Staaten (GUS) im Besonderen.

Während sich viele staatliche Bedrohungsgruppen bei ihren Operationen immer stärker auf Open Source und Standardsoftware verlassen, entwickelt Turla weiterhin seine eigene einzigartige, fortschrittliche Schadsoftware und Tools und wendet dabei neue Angriffs- und Verschleierungsmethoden an. Es verwendet diese TTPs neben älteren Techniken und allgemeinen Open-Source-Tools. Aus diesen Gründen geht die Insikt Group davon aus, dass die Turla Group auch in den kommenden Jahren eine aktive, fortschrittliche Bedrohung bleiben wird, die weiterhin mit einzigartigen Betriebskonzepten überraschen wird.

Die konsistenten Muster der Gruppe und die Verwendung stabiler und regelmäßig aktualisierter Versionen einzigartiger Malware für langwierige Kampagnen können es den Verteidigern jedoch ermöglichen, die Infrastruktur und Aktivitäten von Turla proaktiv zu verfolgen und zu identifizieren. Diese Untersuchung untersucht die Betriebshistorie von Turla und stellt unsere Methodik zur Identifizierung der aktuell von Turla verwendeten Infrastruktur dar, wobei der Schwerpunkt auf mehreren mit Turla verbundenen Malware-Typen liegt. Details zu zwei davon – der zusammengesetzten Mosquito-Hintertür und der entführten iranischen TwoFace ASPX-Web-Shell – werden in diesem Bericht bereitgestellt.

Recorded Future hat unseren Kunden einen detaillierten Bericht mit weiteren Untersuchungen und Erkennungen zusätzlicher Turla-bezogener Malware-Familien bereitgestellt, der auf der Recorded Future-Plattform verfügbar ist.

Wichtige Urteile

Hintergrund

Turla wurde bereits 2008 für Operationen gegen das Pentagon verantwortlich gemacht, die bis heute NATO-Staaten ins Visier genommen haben. Zu den Hauptzielen von Turla gehören Verlags- und Medienunternehmen, Universitäten/Hochschulen und Regierungsorganisationen, die oft speziell auf Wissenschafts- und Energieforschung, abgelegene und lokale diplomatische Angelegenheiten sowie militärische Daten abzielen. Turla zielt aktiv auf europäische und GUS-Länder ab, wobei der Schwerpunkt in der Vergangenheit auf Außen- oder Verteidigungsministerien sowie ähnlichen Regierungsorganisationen und angeschlossenen Forschungseinrichtungen lag.

Turla ist für den Einsatz von Watering-Hole-Angriffen (Kompromittion von Websites, um Besucher ins Visier zu nehmen) und Spear-Phishing-Kampagnen bekannt, um gezielt bestimmte Entitäten von Interesse anzugreifen. Turla hat außerdem innovative, unkonventionelle Techniken eingesetzt, darunter die Nutzung von Satelliten zur Datenexfiltration aus entlegenen Gebieten in Nordafrika und dem Nahen Osten. Die Gruppe ist für die Verwendung sowohl unveränderter als auch angepasster Versionen von Open-Source-Software wie Meterpreter und Mimikatz sowie maßgeschneiderter Schadsoftware wie Gazer, IcedCoffee, Carbon und Mosquito bekannt.

Darüber hinaus haben die Turla-Betreiber zur Verfolgung ihrer Zwecke auch die Infrastruktur Dritter übernommen oder falsche Flaggen verwendet. In vielen Fällen hat diese Gruppe kompromittierte Websites (normalerweise WordPress-Sites) sowohl als Infektionsvektor als auch als operative Infrastruktur für C2-Kommunikation verwendet.

Im Juni 2019 wurde Turla von Forschern bei Symantec als Angreifer identifiziert, der in die Computernetzwerk-Betriebsinfrastruktur der iranischen Bedrohungsgruppe APT34 eingedrungen war, iranische Betriebsinformationen gesammelt und exfiltriert und sich gleichzeitig Zugang zu aktiven Opfern der Iraner verschafft hatte.

Turlas Übernahme der iranischen APT34-Operationen bestand unter anderem darin, deren Webshells zu scannen und zu entdecken. Dazu nutzten die Angreifer bestehende Netzwerke von APT34-Opfern, um IP-Adressen in mindestens 35 verschiedenen Ländern nach einer bestimmten Webshell zu durchsuchen. Nach der Identifizierung nutzte Turla diese Shells, um zunächst bei den Opfern von Interesse Fuß zu fassen und setzte dann weitere Tools ein.

TwoFace wurde erstmals im Jahr 2015 entdeckt und ist die primäre APT34-Web-Shell. Recorded Future geht mit hoher Wahrscheinlichkeit davon aus, dass es sich bei TwoFace um die Shell handelt, nach der Turla gesucht hat, um auf zusätzliche Hosts zuzugreifen. Wir gehen davon aus, dass alle aktiven TwoFace-Shells ab Ende Januar 2020 auch potenzielle Betriebsmittel der Turla-Gruppe sein könnten.

Turla hat außerdem von der eigenen Infrastruktur aus direkt auf die C2-Panels des APT34-Poison-Frog-Tools zugegriffen und diesen Zugriff genutzt, um Opfer zum Herunterladen von Turla-Tools aufzufordern.

Bedrohungsanalyse

Die Übernahme iranischer Computernetzwerk-Ressourcen durch die Turla Group ist unter den bekannten Bedrohungsakteuren bislang einzigartig; diese Aktion kam praktisch der Übernahme der Computernetzwerk-Operationen einer staatlichen Gruppe durch staatliche Akteure eines anderen Landes gleich.

Obwohl es möglich ist, dass die iranischen und russischen Organisationen in irgendeiner Form zusammengearbeitet haben, stützen die der Insikt Group vorliegenden Beweise diese Theorie nicht. Obwohl Turla beispielsweise über umfassende Einblicke in die Tools und Operationen von APT34 verfügte, musste das Unternehmen nach iranischen Webshells suchen, um herauszufinden, wo diese Tools eingesetzt wurden. Wir gehen davon aus, dass Turlas Einmischung in die iranischen Operationen wahrscheinlich ein unkoordinierter und daher feindseliger Akt war.

Während die Insikt Group davon ausgeht, dass die Nutzung der APT34-Infrastruktur durch die Turla Group in erster Linie opportunistischer Natur war, bestand für die Betreiber ein zusätzlicher Vorteil wahrscheinlich darin, dass sie die Einsatzkräfte täuschen konnten, die die Tools möglicherweise als iranischen Ursprungs identifizierten. Turla hat vor der Verwendung iranischer Tools bereits Malware anderer Bedrohungsakteure wiederverwendet, darunter auch die chinesische Malware Quarian im Jahr 2012. In diesem Fall kamen die Forscher von Kaspersky zu dem Schluss, dass Turla-Akteure die Quarian-Malware heruntergeladen und anschließend deinstalliert hatten, um die Einsatzkräfte nach der Entdeckung abzulenken und zu täuschen.

Abgesehen von ihrem mutigen iranischen Vorhaben hat Turla gleichzeitig andere Betriebs- und Entwicklungsaktivitäten durchgeführt. Im Jahr 2019 begann Turla, stark PowerShell-Skripte zu verwenden, wahrscheinlich um die Entdeckung bösartiger Dateien auf der Festplatte zu vermeiden. Im Laufe des Jahres haben sie den Einsatz von PowerShell-Skripten verstärkt, indem sie PowerSploit und PowerShell Empire verwendet und ihre eigene Powershell-Hintertür, PowerStallion, entwickelt haben.

Während Turla am häufigsten auf Microsoft Windows-Betriebssysteme abzielt, haben sie auch absichtlich E-Mail-Server ausgenutzt. Die LightNeuron-Backdoor wurde speziell für die Verwendung auf Microsoft Exchange-Mailservern entwickelt, und die Outlook-Backdoor ist für den Betrieb auf Exchange- und The Bat! -E-Mail-Servern (beliebt in Osteuropa) konzipiert. Die Kompromittierung von Mailservern ermöglicht Turla die Kontrolle über den E-Mail-Verkehr in einem Zielnetzwerk, einschließlich der Möglichkeit, E-Mails nicht nur zu überwachen, sondern auch E-Mails zu erstellen, zu senden und sogar zu blockieren.

Turla verlässt sich auf kompromittierte WordPress-Sites als C2s. Sie verwenden seit 2014 und möglicherweise schon früher regelmäßig WordPress-fokussierte URL-Namen für die Nutzlastübermittlung . Diese Tendenz ermöglicht die Profilerstellung ihrer C2s und Payload-URLs, um neue Turla-Infrastrukturen zu entdecken.

Turla-Operationen wurden mit einer Vielzahl maßgeschneiderter Schadsoftware in Verbindung gebracht. Die Insikt Group hat mehrere dieser Malware-Typen einer eingehenderen Analyse unterzogen, um Scan-Regeln zum Erkennen von Live-Infrastrukturen im Zusammenhang mit Turla zu erstellen, die von Dezember 2019 bis Januar 2020 aktiv waren.

Erweiterte Erkennungsanalyse von Turla

Der Schwerpunkt unserer Analyse lag auf der Entwicklung von Identifikationsmethoden für Turla, wobei wir uns auf mehrere mit Turla verbundene Malware-Typen konzentrierten. Einzelheiten zu unserer Analyse der zusammengesetzten Mosquito-Hintertür und der entführten iranischen TwoFace-Web-Shell finden Sie in diesem Bericht.

Erkennung von Mücken

Im Januar 2018 berichtete ESET über eine neuere Hintertür namens Mosquito, die Turla bei einer Einbruchsanalyse verwendete. Die Lieferung und Installation von Mosquito umfasste mehrere Komponenten, wie beispielsweise:

Mosquito ist ein Win32-Remote-Access-Trojaner (RAT). Die Malware besteht aus drei Hauptkomponenten: einem Installationsprogramm, einem Launcher und der Backdoor-Komponente, die manchmal als CommanderDLL bezeichnet wird. Die Mosquito-Malware wurde nach der ersten Verwendung des Metasploit-Shellcodes und der Installation von Meterpreter abgelegt, um die Kontrolle über das Opfer zu erlangen. Es verfügt über die folgenden Funktionen:

Commander ist die Hauptkomponente der Mosquito-Hintertür. In dieser Studie konzentrierten wir uns in erster Linie auf die C2-Kommunikation von Commander. Um Einzelheiten zu den anderen Aspekten des Mosquito-Pakets zu erfahren, führten die Forscher des ESET eine gründliche Analyse durch.
Die ESET-Analyse der Kommunikation vom Commander zu seinem C2 zeigt, dass die Kommunikation zur und von der Steuerung über HTTP oder HTTPS gesendet wird. Auf der Client-Seite können Daten als Parameter in der GET-Anforderung, als Cookie oder als Parameter und Nutzlast eines POST gesendet werden (wie in der Abbildung unten gezeigt). Auf der Controller-Seite werden Antworten und Befehle als HTTP-Payload gesendet.

Beacon von der Mosquito-„Commander“-Hintertür mit verschlüsselten Daten, die im POST-Parameter und in der Nutzlast gesendet werden.

Wie oben gezeigt, liegen die an den Verantwortlichen gesendeten Daten nicht im Klartext vor. Es wird zunächst mit einer Verschlüsselungsroutine geschützt, die einen Blum Blum Shub Pseudo-Zufallszahlengenerator verwendet, um einen Strom von Bytes zu erzeugen, die zur XOR-Codierung der Klartextdaten verwendet werden. Die resultierenden Daten werden dann Base64-kodiert.

Zum Verschlüsseln oder Entschlüsseln sind ein Schlüssel und ein Modul für den Verschlüsselungsprozess erforderlich. Wie ESET berichtete und wie die Insikt Group bei ihrer Analyse feststellte, ist der Modul von "0x7DFDC101" fest codiert. Der Schlüssel ist nicht hartcodiert und wird bei jedem Austausch zwischen Client und Controller nach dem Zufallsprinzip generiert, sodass der Schlüssel für jede Übertragung unterschiedlich ist. Dieser zufällige Schlüssel wird als Teil der C2-Kommunikation gesendet und kann leicht extrahiert werden. Die Analysten der Insikt Group haben diese Implementierung des Pseudo-Zufallszahlengenerators rückgängig gemacht und ein Decoder-Skript in Python erstellt, das in unserem GitHub-Repository zu finden ist.

Durch eine Spiegelanalyse von ESET hat die Insikt Group herausgefunden, dass den gesendeten Daten Header-Informationen vorangestellt sind. Der Header besteht im entschlüsselten Zustand aus den folgenden Feldern:

Felder
Länge
Beschreibung
Startschlüssel
DWORD
Startschlüssel zum Entschlüsseln der Daten
AUSWEIS
BYTE
Wert, der unterschiedliche Methoden für die C2-Kommunikation angibt. Zu den verfügbaren IDs gehören 0x85 (HTTP Get mit möglichen benutzerdefinierten Headern), 0x87 (HTTP POST-Übertragung), 0x88 (HTTP GET mit Cookie) und 0x89 (HTTP GET).
String-Länge
BYTE
Länge des Zeichenfolgenfelds
Zeichenfolge
Variable 1-4 BYTES
Zwei Hex-BYTES, die eine ASCII-Dezimalzahldarstellung darstellen. 0x37,0x32 (HEX) == 72 (Dezimal) == H (ASCI)I
MAC-Adresse
QWORD
MAC-Adresse des Hosts
NULL
DWORD
Datenlänge
DWORD
Länge des Datensegments innerhalb der URL
Daten (URL)
Variable
Enthält einen 28-Byte-Header und dann die Daten; die Daten werden auch mit dem fest codierten Schlüssel 0x3EB13 von Blum Blum Shub verschlüsselt; wir haben beobachtet, dass dieses Feld Junk-Werte enthält, wenn Daten als POST gesendet werden
Daten (POST)
Variable
Als POST gesendete Daten enthalten keinen Header wie die URL-Methode. Wie bei der URL-Methode werden die Daten mit dem fest codierten Schlüssel 0x3EB13 von Blum Blum Shub verschlüsselt.


Entschlüsselte Mosquito Commander-Headerinformationen.
Weitere Analysen der Commander-Backdoor zeigen, dass die vom Controller erwartete Antwort ein HTTP/S-Paket ist, dessen Nutzdaten Base64-kodiert und anschließend auf die gleiche Weise wie beim C2-Beacon-Paket verschlüsselt werden. Wenn die Antwort erfolgreich dekodiert wird, wird das erste Byte überprüft, und wenn es gleich 28 ist, werden die restlichen Datenbytes analysiert. Wenn das erste Byte gleich 0x27 ist, wird mit der C2-Antwort nichts weiter unternommen.

Antwortbehandlungscode von Mosquito Commander C2.

Passive Scans für Kommandanten

Mithilfe von Open-Source-Tools wie urlscan.io sowie proprietären Scan-Methoden der Insikt Group suchen die passiven Scans nach Beweisen dafür, dass kompromittierte Hosts Signale an den Controller zurücksenden. Die Abfragen suchen nach den statischen Aspekten der GET- oder POST-Ressourcenzeichenfolge „/scripts/m/query.php?id=“, wie im folgenden Link gezeigt:

Beispiele für aktuelle Ergebnisse dieser Abfrage mit urlscan.io sind:

Die obigen URLs stimmen perfekt mit dem typischen Mosquito-URL-Muster überein. Mithilfe unseres oben erwähnten Python-Decoderskripts können wir versuchen, den verschlüsselten Teil der URL „eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO…“ zu dekodieren. Die Ergebnisse unseres Skripts werden unten angezeigt.

Entschlüsselte urlscan.io Commander-URL-Zeichenfolge.

Nachdem wir das Dekodierungsskript ausgeführt haben, können wir feststellen, dass der Anfang des Headers korrekt dekodiert wurde, da wir die ID, die Zeichenfolgenwerte und die MAC-Adresse des kompromittierten Geräts extrahieren können. Für beide IPs kann der Datenabschnitt nicht dekodiert werden. Dies ist jedoch zu erwarten, wenn man bedenkt, dass die ID 0x87 ist, was darauf hinweist, dass dies ein HTTP POST war und die eigentlichen Daten, die wir dekodieren möchten, sich in der HTTP-Nutzlast und nicht im Parameter befinden. Auf Grundlage dieser Analyse gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei diesen IPs um Mosquito Controller handelt.

TwoFace Web Shell-Erkennung

Die TwoFace-Web-Shell wurde zuerst vom Palo Alto Unit42-Forschungsteam entdeckt und analysiert und später der Gruppe zugeschrieben, die sie als OilRig bezeichnen und die üblicherweise mit APT34 in Verbindung gebracht wird. Wie bereits erwähnt, suchte Turla nach dem Vorhandensein der TwoFace ASPX-Web-Shells und versuchte dann, auf Snake oder andere Malware zuzugreifen und diese herunterzuladen. Wir glauben, dass viele dieser Web-Shells jetzt operative Assets von Turla sein könnten und nicht mehr unter der Kontrolle von APT34 stehen.

Die TwoFace-Web-Shell besteht eigentlich aus zwei Shells: einer ersten Loader-Shell und einer zweiten, voll funktionsfähigen Web-Shell, die dem Betreiber viel mehr Kontrolle über die Website gibt. Beide Komponenten wurden in C# geschrieben und für den Betrieb auf Webservern mit ASP.NET-Unterstützung entwickelt, wobei für den Betrieb Active Server Page Extended (ASPX)-Dateien verwendet werden. TwoFace ist ein Remote-Access-Trojaner mit folgenden Funktionen:

Der Zugriff auf die Web-Shell erfolgt über ein Bedienfeld, das dem Bild unten ähnelt. Die Bedrohungsakteure müssten sich dann authentifizieren, um weitere Aktionen auszuführen. Aber auch ohne Authentifizierung ist das Vorhandensein dieser speziellen ASPX-Datei Die Datei ist ausreichender Nachweis für die Anwesenheit der TwoFace-Web-Shell.

TwoFace-Web-Shell-Panel.

Details zur TwoFace Web Shell-Erkennung

Die Insikt Group hat ein proprietäres Tool zum Scannen von URLs für die TwoFace-Web-Shell erstellt. Die zum Scannen nach der TwoFace-Web-Shell mit dem Tool verwendete Konfiguration finden Sie in der folgenden Tabelle.

Regelname
HTTP-Methode
Kollektionsfilter
HTTP-Header
HTTP-Nutzlast
Erwartete Controller-Antwort (RegEx)
Turla_TwoFace_Webshell_Detection
ERHALTEN
.aspx
N/A
N/A
„Funktion use() { var n = document; var d = n.getElementById(“d”).innerHTML; d = d.substring(0, d.lastIndexOf('\\') + 1); n.getElementsByName(“cmd”)[0].Wert += d; n.getElementsByName(“sav”)[0].Wert += d; n.getElementsByName(“don”)[0].Wert += d;}”


Scannerkonfiguration für die TwoFace-Webshell.
Diese Konfiguration sammelt zunächst alle URLs aus unserer Quellenliste, die einen Dateinamen mit der Endung „*.aspx“ im Pfad enthalten. Der Recorded Future Scanner verbindet sich mit jeder URL. Durch die Verbindung rufen wir den Inhalt der .aspx-Datei ab. Datei wie in der Abbildung unten dargestellt.

Automatisierter Abruf von .aspx Dateien.
Anschließend durchsuchen wir die Antwort nach bekannten TwoFace-Webshell-Zeichenfolgen, um festzustellen, ob die URL zu einer TwoFace-Webshell führt. Die Analysten der Insikt Group verwendeten das JavaScript-Snippet in der Abbildung unten als Indikator für die TwoFace-Web-Shell.

JavaScript-Code, der bei der TwoFace-Web-Shell-Erkennung verwendet wird.

Ausblick

Die Turla Group ist ein ausgeklügelter Bedrohungsakteur, und obwohl viele nationalstaatliche Gruppen immer mehr auf Open-Source- und Standardsoftware angewiesen sind, hat Turla seine eigene, einzigartige, fortschrittliche Malware weiterentwickelt. Der Reductor RAT, ein neuer Malware-Stamm für Turla, der erstmals Ende 2019 beobachtet wurde, ist ein Beispiel für eine solche Innovation. Die Insikt Group geht davon aus, dass Reductor RAT im Jahr 2020 weiterhin verwendet wird.

Turla nutzt zwar noch immer wirksame ältere Techniken wie virtuelle Dateisysteme mit Gazer und der Outlook-Hintertür, hat jedoch konsequent neuere Methoden übernommen, wie etwa die Änderung der Browser-Pseudonummerngenerierung durch Reductor, und entwickelt kontinuierlich neue Tools, wie etwa die jüngsten .NET- und PowerShell-Hintertüren.

Wie bereits erwähnt bedeutet dies nicht, dass Turla keine generischen Tools verwendet. Turla verwendet regelmäßig Open-Source-Tools, darunter Mimikatz und Metasploit als Bereitstellungsmechanismen für die Mosquito-Hintertür.

Die Turla Group wird von der Insikt Group als gut finanzierte, fortschrittliche nationalstaatliche Gruppe eingestuft, die seit vielen Jahren aktiv ist und ihre Werkzeuge und Praktiken verbessert. Obwohl wir davon ausgehen, dass sich Zielsetzung und Vorgehensweisen mit der Zeit ändern werden, geht die Insikt Group davon aus, dass die Turla Group auch in den kommenden Jahren eine aktive, hochentwickelte Bedrohung bleiben wird, die weiterhin mit einzigartigen operativen Konzepten überraschen wird. Die konsistenten Muster der Gruppe und die Verwendung stabiler und regelmäßig aktualisierter Versionen einzigartiger Malware für langwierige Kampagnen könnten jedoch in Zukunft eine proaktive Verfolgung und Identifizierung ihrer Infrastruktur und Aktivitäten ermöglichen.