近期,PassiveTotal針對Turla APT所用IP的自簽名證書進(jìn)行了關(guān)聯(lián)分析,最終發(fā)現(xiàn)Turla APT的多個(gè)攻擊IP隸屬于多家衛(wèi)星服務(wù)運(yùn)營商,并且攻擊者還通過這些IP注冊了大量新的C&C域名。
FreeBuf百科
Turla APT組織,也被稱為Snake或者Uroboros,是迄今為止高級(jí)別的APT組織之一,卡巴斯基于2015年9月發(fā)現(xiàn)Turla活躍時(shí)間長達(dá)8年,其利用衛(wèi)星通信固有的安全缺陷隱藏C&C服務(wù)器位置和控制中心。
自簽名證書:是一種由簽名實(shí)體頒發(fā)給自身的證書,即發(fā)布者和證書主體相同。對客戶端來說,是一種非權(quán)威、不信任的證書,而對于服務(wù)端的主要目的為數(shù)據(jù)加密和保證完整性和不可抵賴性。
1 攻擊架構(gòu)分析
以IP地址和對應(yīng)域名關(guān)系鏈為分析途徑,以SSL證書數(shù)據(jù)為分析重點(diǎn):
PassiveTotal通過對相關(guān)SSL證書哈希值進(jìn)行對比關(guān)聯(lián),發(fā)現(xiàn)Turla APT的某些連接特征可以追溯至2013年,且大量攻擊IP對應(yīng)的SSL證書與IP 83.229.75.141有關(guān),且為同一證書。以下為證書信息:
證書為有效期10年的自簽名證書,無認(rèn)證鏈和詳細(xì)信息,只有名為Ubuntu的通用名稱。該證書在2015年8月出現(xiàn),且2016年1月與一起攻擊事件的IP結(jié)點(diǎn)相關(guān):
通過與Turla攻擊架構(gòu)對比發(fā)現(xiàn),Turla攻擊中存在與此證書相關(guān)的大量IP和域名:
以SSL證書SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d為對比,我們發(fā)現(xiàn)了與6家衛(wèi)星服務(wù)運(yùn)營商相關(guān)的另外26個(gè)IP地址,這6家衛(wèi)星服務(wù)運(yùn)營商為:
Skyvision(英國衛(wèi)星服務(wù)運(yùn)營商,卡巴斯基報(bào)告中曾提及)
Sidus(美國衛(wèi)星廣播服務(wù)供應(yīng)商)
Telesat(澳門宇宙衛(wèi)星服務(wù)運(yùn)營商,卡巴斯基報(bào)告中曾提及)
Astrium(歐洲阿斯特里姆衛(wèi)星服務(wù)運(yùn)營商)
Impuls Hellas(希臘衛(wèi)星服務(wù)運(yùn)營商)
Asia Broadcast Networks(亞洲廣播衛(wèi)星公司)
2 證書變化
Turla APT 涉及的42個(gè)相關(guān)IP地址都基于同一自簽名SSL證書:
當(dāng)PassiveTotal發(fā)布了上述攻擊架構(gòu)的分析報(bào)告之后,該自簽名證書發(fā)生了改變:
以上變化表明,Turla APT并沒有放棄之前的攻擊架構(gòu),這些攻擊架構(gòu)對其可能還存在利用價(jià)值。通過對IP和對應(yīng)域名分析,結(jié)合Maltego的關(guān)聯(lián)結(jié)果,我們發(fā)現(xiàn)攻擊者基于該自簽名證書注冊了一些新的攻擊架構(gòu):
下圖為Turla APT新注冊的IP和相關(guān)域名關(guān)聯(lián)信息:
3 結(jié)論
Turla APT所利用的攻擊架構(gòu)雖然已不作為主要的C&C服務(wù),但仍然處于活躍狀態(tài)。證書注冊和域名變化信息表明這些攻擊架構(gòu)可能被攻擊者運(yùn)用于一些常規(guī)操作或低價(jià)值目標(biāo)攻擊活動(dòng)。
4 IOC
IP 地址:
209.239.79.69
82.146.174.240
82.146.166.61
193.220.55.6
83.229.62.212
169.255.100.152
113.208.81.33
82.146.174.40
82.146.175.52
113.208.81.48
83.229.75.141
77.246.76.19
209.239.79.121
209.239.79.125
217.194.150.31
82.146.166.58
217.194.149.111
169.255.100.122
169.255.101.65
113.208.81.55
217.8.36.239
83.229.62.210
82.146.175.48
82.146.175.69
41.203.79.74
77.73.187.223
217.194.150.22
域名:
trytowin[.]ignorelist[.]com
treesofter[.]mooo[.]com
sportinfo[.]yourtrap[.]com
profound[.]zzux[.]com
badget[.]ignorelist[.]com
norwaynews[.]mooo[.]com
dellservice[.]publicvm[.]com
priceline[.]publicvm[.]com
forumgeek[.]zzux[.]com
mouses[.]strangled[.]net
SHA-1:
f415844680ed9118ea74e0c7712b35044f0cc20d
*本文譯者:clouds,編譯來源:PassiveTotal,轉(zhuǎn)載須注明來自FreeBuf.COM