Turla(又名Pensive Ursa)工具库分析
导语:Pensive Ursa工具库中最近活跃的10种恶意软件详解看过来!
Turla(又名Pensive Ursa、Uroburos、Snake)是一个至少从2004年开始运行,总部位于俄罗斯的一个攻击组织。该组织与俄罗斯联邦安全局(FSB)有一定联系。接下来,我们将在这篇文章中介绍Pensive Ursa工具库中最近活跃的10种恶意软件:Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
MITRE ATT&CK称Turla是以其有针对性的攻击和隐身而闻名,多年来,Pensive Ursa已经成为一个先进而难以被发现的恶意软件。
正如MITRE所描述的那样,Pensive Ursa已对至少45个国家发起过攻击,包括政府实体、大使馆和军事组织,以及教育、研究和制药公司。此外,该组织还参与了2022年2月开始的俄乌冲突。据乌克兰CERT称,Pensive Ursa利用间谍攻击乌克兰目标,特别是针对其国防部门。
虽然Pensive Ursa主要利用他们的间谍工具瞄准Windows设备,但也会攻击macOS和Linux设备。
以下是该团队工具库中最活跃的10种恶意软件。对于每种类型的恶意软件,我们都提供了简短的描述和分析,以及Cortex XDR如何检测和阻止攻击。
Capibar
别名:DeliveryCheck、GAMEDAY;
恶意软件类型:后门;
首次发现时间:2022年;
Capibar(又名DeliveryCheck,GAMEDAY)是Pensive Ursa后门,于2022年首次被观察到,主要用于对乌克兰国防军进行间谍活动,通过电子邮件将其作为带有恶意宏的文档传播。
Capibar通过下载并在内存中启动负载的计划任务而·持续存在。攻击组织将Capibar作为托管对象格式(MOF)文件安装在受攻击的MS Exchange服务器上,使攻击者能够完全控制服务器。
下图显示了负责加载从其命令和控制(C2)接收的XML的代码片段,图2显示了触发的警报:
Capibar代码段加载从其C2接收的XML
Cortex XDR触发了警报
Kazuar
恶意软件类型:后门;
首次发现时间:2017年
Kazuar是.NET后门,于2017年被首次发现。Kazuar提供对其操作人员所针对的受感染系统的全面访问权限,Kazuar附带了一个强大的命令集,包括远程加载额外插件,以增强后门功能的能力。
2021年,研究人员发现,Kazuar和俄罗斯攻击组织在 SolarWinds 行动中使用的SUNBURST后门之间存在有趣的代码重叠和相似之处。2023年7月,乌克兰CERT破获了一次间谍行动,Pensive Ursa则是将Kazuar作为主要后门之一。
下图显示了Cortex XDR阻止将Kazuar DLL注入explorer.exe进程,下图显示为防止Kazuar而触发的警报:
Kazuar被注入explorer.exe并被Cortex XDR阻止
Cortex XDR的Kazuar执行阻止警报
Snake
恶意软件类型:模块化后门;
首次被发现时间:2003年;
正如CISA在2023年5月描述的那样,臭名昭著的Snake恶意软件是Pensive Ursa工具集中最复杂的工具。该工具的主要目的是实现相当长一段时间的持久性,并从专用目标中盗取数据。自2003年以来,它已经发展了20年。
Snake在全球50多个国家被发现,美国司法部发表声明,宣布了MEDUSA行动。在该行动中,他们查获了Snake恶意软件活动和P2P网络。他们使用了联邦调查局开发的一种名为PERSEUS的工具,将其用作Snake恶意软件的阻止攻击。
基于先前的分析,Snake恶意软件实现了可维护的代码设计,这表明其开发者具有较高的软件开发功能。
Snake实现了以下功能:
基于HTTP和TCP的通信协议的自定义实现;
用于隐身的内核模块;
按键记录仪功能;
Snake最近的变种包括一个类似于下面描述的感染链。
Snake恶意软件传播示例
执行时,Snake从其资源中加载并执行Pensive Ursa的PNG Dropper恶意软件,并创建一个硬编码互斥体{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C,如下图所示:
Snake loader的资源
然后,PNG释放器解码并加载一个易受攻击的VM驱动程序,该驱动程序用于权限提升,以便将主Snake负载写入磁盘,并将其注册为服务。下图所示的Snake加载程序变体检测感染链中的多个阶段,这些阶段导致部署、服务注册和执行Snake主负载。
下图显示了Cortex XDR中弹出的执行阻止警报:
检测模式下Cortex XDR中显示的Snake执行检测
Cortex XDR中显示的Snake执行阻止警报
QUIETCANARY
别名:Tunnus;
恶意软件类型:后门;
首次发现时间:2017;
自2019年以来,人们一直在使用QUIETCANRY观察Pensive Ursa,Tomiris组织甚至更早地使用了这个后门。
Pensive Ursa于2022年9月便针对乌克兰的目标部署了QUIETCANARY,以及Kopiluwak恶意软件。
QUIETCANRY是一个用.NET编写的轻量级后门,能够执行从其C2服务器接收的各种命令,包括下载额外的有效负载和执行任意命令。它还实现了RC4加密,以保护其C2通信。
下图显示了QUIETCANRY后门功能的不同类,展示了QUIETCANRY触发的基于Cortex XDR多层保护的警报:
QUIETCANRY代码中不同类的代码段
下图显示了执行阻止警报:
在Cortex XDR中显示了QUIETCANRY的警报
Cortex XDR中显示的QUIETCANARY/Tunnus执行阻止警报
Kopiluwak
恶意软件类型:传播器/下载器;
首次发现时间:2016年;
Kopiluwak恶意软件于2016年底被首次发现,它是由各种类型的滴管作为多层JavaScript而进行有效负载传播的。
Pensive Ursa在2017年的一次G20主题攻势中使用MSIL滴管释放了Kopiluak恶意软件,并在2022年末作为SFX可执行文件释放。
Kopiluwak的JavaScript文件如下图所示,下面是C:\Windows\Temp\ path下的代码片段。其目的是收集有关受攻击计算机的有价值的初始分析信息,例如:
在目标位置列出文件;
检索当前运行的进程;
显示活动的网络连接;
攻击者通过运行systeminfo、tasklist、net、ipconfig和dir等侦察命令来完成此活动,结果保存在名为result2.dat的文件中。
在检测模式下,在Cortex XDR中显示Kopiluwak执行检测
下图列出了由Kopiluwak执行,并由Cortex XDR检测到的侦察命令:
Kopiluwak的侦察命令
下图显示了Cortex XDR为Kopiluwak发出执行阻止警报:
Cortex XDR中显示的Kopiluak执行阻止警报
2019年,Pensive Ursa开始使用Topinambour滴管递送Kopiluak。该组织将Topinambour捆绑到一个合法的软件安装程序中。
安装后,Topinambour作为一个小的.NET文件被放到%localappdata%文件夹中,并作为一个计划任务写入。然后,该恶意软件与其硬编码的C2虚拟专用服务器(VPS)通信,以传递Kopiluwak恶意软件。
Cortex XDR在检测模式下显示Topinambour执行检测
下图显示了Cortex XDR弹出的阻止警报:
Cortex XDR中显示的Topinambour执行阻止警报
Crutch
恶意软件类型:后门;
首次发现时间:2015年;
2020年12月,ESET研究人员发现了Crutch后门。根据Pensive Ursa的战术、技术和程序(TTP),攻击者利用后门攻击了欧洲的几个目标,包括一个欧盟成员国的外交部。
这个后门的主要目的是窃取敏感文件,并将数据泄露到Pensive Ursa运营商控制的Dropbox帐户。使用Dropbox等商业服务进行C2通信是一种已知的(但有效的)技术,因为它是一种合法的服务,并与其他网络通信相融合。
由于代码和TTP与Pensive Ursa的另一个名为Gazer的后门有很大的相似性,Crutch被认为是第二阶段的后门,其持久性是通过DLL劫持实现的。
下图显示了Cortex XDR中Crutch的检测和阻止:
ComRAT
别名:Agent.btz;
恶意软件类型:后门;
首次出现时间:2007年
PowerShell滴管在检测模式下将ComRAT释放到Cortex XDR中显示的磁盘
ComRAT是Pensive Ursa最古老的后门之一,他们在恶意软件的早期迭代中将其命名为Agent.btz。
据报道,ComRAT于2007年首次被发现。从那时起,它进行了多次升级,截至2020年,ComRAT已经迭代了4版。此攻击是在C++中开发的,攻击者已使用PowerShell植入(如PowerStalion)进行部署。
下图显示了PowerShell滴管机制。攻击者在使用ComRAT时的主要目的是从高价值目标那里窃取和泄露机密文件:
Cortex XDR中显示ComRAT PowerShell滴管执行阻止警报
下图描述了Cortex XDR中的PowerShell和DLL执行阻止:
Cortex XDR中显示的ComRAT DLL执行阻止警报
Carbon
恶意软件类型:后门;
首次发现时间:2014年
Carbon是一个模块化后门框架,Pensive Ursa已经使用了几年。Carbon框架包括一个安装程序、一个协调器组件、一个通信模块和一个配置文件。
Carbon还具有P2P通信功能,攻击者使用该功能向受网络上影响的其他受感染设备发送命令。Carbon通过使用Pastebin等合法网络服务提供商接收C2的命令。
下图显示了Carbon在Cortex XDR中的执行检测和阻止:
Carbon创建了一个加载附加组件的服务,该服务在检测模式下显示在Cortex XDR中
Cortex XDR中显示的Carbon执行阻止警报
HyperStack
恶意软件类型:后门;
首次亮相:2018年;
HyperStack(又名SilentMo,BigBoss)是一个RPC后门,于2018年首次被发现,攻击者在针对欧洲政府实体的行动中使用了它。HyperStack使用一个控制器进行操作,该控制器使用命名管道通过RPC与受HyperStack感染的受攻击环境中的其他计算机进行通信。此通信方法使攻击者能够控制本地网络上的计算机。
HyperStack显示了与Pensive Ursa的Carbon后门的几个相似之处,如加密方案、配置文件格式和日志记录约定。
下图显示了HyperStack在Cortex XDR中的检测和阻止:
HyperStack创建了一个用于持久性的服务,在检测模式下显示在Cortex XDR中
Cortex XDR中显示HyperStack执行阻止警报
TinyTurla
恶意软件类型:后门;
首次发现时间:2021年;
TinyTurla恶意软件于2021年被Talos首次发现,他们认为这是第二阶段的后门。美国、欧盟和后来的亚洲目标都发现了这种后门。
TinyTurla的主要功能包括:
下载其他有效负载;
向攻击者的C2服务器上传文件;
执行其他进程;
如下图所示,攻击者通过批处理脚本将后门安装为名为WindowsTimeService的服务。批处理脚本还负责将C2服务器的数据写入注册表。一旦后门被执行,它读取这些值将与其C2通信。
它伪装成一个名为w64time.DLL的DLL,位于system32文件夹下。
上面描述的批处理脚本的内容
虽然w32time.dll是一个合法的DLL,而且其他合法的DLL确实有32位和64位的变体,但是合法的w64time.dll并不存在。这种命名惯例旨在进一步分散受害者的注意力,使他们不产生怀疑。
下图显示了Cortex XDR检测批处理脚本、W64Time服务和TinyTurla DLL执行的编写和执行:
Cortex XDR在检测模式下显示TinyTurla阻止
Cortex XDR中显示TinyTurla执行阻止警报
战术、技术和程序(TTP)
Cortex XDR警报被映射到MITRE ATT&CK框架,并提供与攻击相关的战术和技术信息,如下图所示:
Cortex XDR的Mitre ATT&CK映射
Pensive Ursa相关活动和工具库在Cortex XDR中引发了多个警报,这些警报被映射到表1中引用的MITRE ATT&CK战术和技术。
MITRE ATT&CK战术和技术
总结
众所周知,Pensive Ursa高级持续攻击(APT)组织是一个重要且持续存在的攻击组织。凭借其先进的技术,其运营组织在针对全球行业的同时,也向大众展示了一种先进的规避方式。
我们在本文探索了Pensive Ursa工具库中排名前十的恶意软件,并通过Palo Alto Networks Cortex XDR监测了其执行过程。这表明针对先进攻击使用多层保护模式的重要性。
因为Pensive Ursa APT攻击的受害者可能会造成重大损失,其后果不仅限于财务损失和数据泄露,还包括影响关键基础设施的可能性,这可能会对国家安全和地缘政治产生影响。因此,每个组织,无论其规模或行业如何,都必须优先考虑全面的安全战略,并投资多层安全措施,以防范Pensive Ursa等APT组织日益增长的攻击。
保护和缓解措施
Palo Alto Networks Cortex XDR和XSIAM的客户可以获得针对本文描述的Pensive Ursa恶意软件库的保护。
本文针对每种恶意软件都提出了阻止和检测警报:Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
SmartScore是一个独特的机器学习驱动的评分引擎,它将安全调查方法及其相关数据转换为混合评分系统,对一个涉及已知Pensive Ursa工具和技术组合的事件进行了91分的评分,这是一个非常高的风险水平,如下图所示:
SmartScore有关该事件的信息,对于Palo Alto Networks的客户,其提供了与该组织相关的以下覆盖范围:
Cortex XDR通过分析来自多个数据源的用户活动来检测基于用户和凭据的攻击,这些数据源包括:
终端;
网络防火墙;
活动目录;
身份和访问管理解决方案;
云工作负载;
Cortex XDR通过设备学习,建立用户活动随时间变化的档案,通过将新活动与过去的活动、p2p活动和实体的预期行为进行比较。
Cortex XDR检测到表明基于凭据攻击的异常活动,它还提供了以下与本文中讨论的攻击相关的保护措施:
使用基于本地分析模块的行为攻击保护和设备学习,防止执行已知恶意软件,并防止执行未知恶意软件;
使用Cortex XDR 3.4提供的新凭证收集保护,防止使用凭证收集工具和技术;
使用Cortex XDR 3.4中最新发布的Anti-Webshell保护,防止攻击者从web shell中释放和执行命令;
使用反利用模块以及行为攻击保护来防止对不同漏洞的利用,包括ProxyShell和ProxyLogon;
Cortex XDR Pro通过行为分析检测攻击后活动,包括基于凭据的攻击。
发表评论