近日,ESET研究人员发布了关于APT组织Turla(或称Snake或Uroburos)所使用后门的研究报告,该后门用于获取至少三个欧洲国家当局的敏感通信。
后门最近的目标是Microsoft Outlook。该后门并不使用传统的命令和控制(C&C)方式,例如基于HTTP(S),而是通过电子邮件附件中的特制PDF文件,指示受感染的机器执行一系列命令。命令包括数据泄露、下载其他文件以及执行其他程序和命令。数据泄露本身也通过PDF文件进行。
背景
Turla是俄罗斯网络间谍APT组织(也被称为Snake或Uroburos),自2008年以来一直活跃于攻击政府机构与民间企业。其中值得注意的受害者是2013年芬兰外交部,2014年至2016年瑞士军事公司RUAG,以及最近于2017年底至2018年初的德国政府。此前已经有报道发布了一些关于攻击者使用的攻击方式:他们使用电子邮件附件来控制恶意软件,并从系统中传输被盗数据。但是没有公开关于此后门的技术信息。为此,ESET研究人员发布了Turla后门的深入分析。
ESET的调查还显示,针对Microsoft Outlook的这一后门被用于对抗各种政治和军事组织。能够确定其他两个欧洲政府的外国办事处和一个大型国防承包商都受到了损害。同时还发现了Turla为此活动注册的数十个电子邮件地址,用于接收受害者的详细数据。
该后门可能最早在2009年出现。多年来,其作者一直在添加各种功能,最终赋予它一种罕见的隐身能力和恢复力。以下是过去几年后门的演变过程。
攻击流程
Turla Outlook后门主要有两个功能。首先,它通过将所有发送的电子邮件转发给攻击者来窃取信息。它主要针对Microsoft Outlook,但也针对The Bat! ,一个在东欧很受欢迎的邮件客户端。其次,使用电子邮件消息作为其命令和控制(C&C)协议的传输层。数据(例如通过后门命令请求的文件)附加到电子邮件的特制PDF文档中,并且命令也在PDF附件中接收。因此,它的行为特别隐蔽。值得注意的是,PDF阅读器和Outlook中都没有使用漏洞。实际上是恶意软件能够解码PDF文档中的数据并将其解释为后门的命令。
最新版本后门是一个独立的动态链接库(DLL),它具有安装自身并与邮件客户端Outlook和The Bat!交互的代码。
后门安装:
为了安装后门,攻击者执行名为Install的DLL导出或使用regsvr32.exe注册它。参数是目标邮件客户端。
Microsoft Outlook:
Turla开发人员再一次依赖COM对象劫持来为他们的恶意软件建立持久性。包括通过修改Windows注册表中相应的CLSID条目来重定向目标应用程序使用的COM对象。一旦进行了修改,每次Outlook加载此COM对象时都会加载后门DLL。此COM重定向不需要管理权限,因为它仅适用于当前用户。最后,使用COM劫持允许后门保持隐蔽性。
与邮件客户端的交互:
Microsoft维护一个API,即消息应用程序编程接口(MAPI),它允许应用程序与Outlook 进行交互。此Turla后门利用API来访问和管理受感染系统的人员的邮箱。首先,它使用MAPILogonEx连接到消息传递系统。Outlook使用标志MAPI_ALLOW_OTHERS打开默认会话。因此,后门将使用此先前打开的会话来访问默认邮箱配置文件。完成此操作后,它可以访问完整邮箱,并可以使用其他MAPI功能轻松管理。它将遍历各种消息存储库,解析电子邮件并在收件箱和发件箱中添加回调。
收件箱回调:
收件箱回调首先记录有关传入电子邮件的元数据。这包括发件人,收件人,主题和附件名称。然后,解析电子邮件及其附件,以检查它们是否包含来自攻击者的命令。最后,通过检查传入的电子邮件是否包含运营商的电子邮件地址来拦截非传递报告(NDR)电子邮件。因此,任何包含运营商电子邮件地址的电子邮件将被丢弃。
发件箱回调:
与收件箱回调类似,发件箱回调会记录每封外发电子邮件的元数据。它还会将每封外发电子邮件转发给攻击者的电子邮件地址。后门会定期向攻击者的电子邮件地址发送报告。
隐藏恶意行为:
由于后门在用户使用计算机和Outlook的同时工作,因此会努力隐藏可能出现在屏幕上的各种恶意行为,例如来自攻击者的电子邮件。首先,后门总是删除发送给攻击者或从攻击者收到的所有电子邮件。其次,hook 住CreateWindowsEx函数。阻止创建NetUIHWND类型的窗口,该窗口是Outlook用于显示在屏幕右下角通知的窗口类型。
结论
据ESET调查,Turla是目前唯一一个使用完全由电子邮件控制的后门的间谍组织,更具体地说是通过PDF附件控制。虽然Turla后门不是第一个使用受害者的真实邮箱接收命令和泄露数据的后门,但它是第一个使用标准API(MAPI)与Microsoft Outlook进行交互的公知后门。这是对旧邮件控制后门的一个重大改进,旧后门依赖Outlook Express,只是读取收件箱文件和写入发件箱文件。相比之下,Turla后门甚至可以与最新版本的Outlook一起使用。
受到破坏的组织不仅有被种植后门的Turla监视的风险,而且还有被其他攻击者监视的风险。后门只是执行它收到的任何命令,而无法识别操作符。因此,其他攻击者可能已经对后门进行了逆向工程并找出了如何控制它,甚至还在利用后门对受害者进行间谍活动。
详细信息可参考:
https://www.welivesecurity.com/2018/08/22/turla-unique-outlook-backdoor/
IOC
Hashes
SHA1 hash | Component | Compilation Time (GMT) | ESET Detection Name |
8A7E2399A61EC025C15D06ECDD9B7B37D6245EC2 | Backdoor | 2013-06-28
14:15:54 |
Win32/Turla.N |
F992ABE8A67120667A01B88CD5BF11CA39D491A0 | Dropper | 2014-12-03
20:50:08 |
Win32/Turla.AW |
CF943895684C6FF8D1E922A76B71A188CFB371D7 | Backdoor | 2014-12-03
20:44:27 |
Win32/Turla.R |
851DFFA6CD611DC70C9A0D5B487FF00BC3853F30 | Backdoor | 2016-09-15
08:14:47 |
Win32/Turla.DA |
Filenames
- %appdata%/Microsoft/Windows/scawrdot.db
- %appdata%/Microsoft/Windows/flobcsnd.dat
- mapid.tlb
Registry Keys
- HKCU\Software\Microsoft\Windows\CurrentVersion\Settings\ZonePolicy\
- HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}
- HKCU\Software\Classes\CLSID\{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。