威脅分析:Turla APT所用的多個(gè)IP隸屬多家衛(wèi)星服務(wù)運(yùn)營商

責(zé)任編輯:editor005

作者:clouds

2016-08-23 15:29:12

摘自:FreeBuf.COM

近期,PassiveTotal針對Turla APT所用IP的自簽名證書進(jìn)行了關(guān)聯(lián)分析,最終發(fā)現(xiàn)Turla APT的多個(gè)攻擊IP隸屬于多家衛(wèi)星服務(wù)運(yùn)營商,并且攻擊者還通過這些IP注冊了大量新的C&C域名。

sat-1.jpg

近期,PassiveTotal針對Turla APT所用IP的自簽名證書進(jìn)行了關(guān)聯(lián)分析,最終發(fā)現(xiàn)Turla APT的多個(gè)攻擊IP隸屬于多家衛(wèi)星服務(wù)運(yùn)營商,并且攻擊者還通過這些IP注冊了大量新的C&C域名。

FreeBuf百科

Turla APT組織,也被稱為Snake或者Uroboros,是迄今為止高級(jí)別的APT組織之一,卡巴斯基于2015年9月發(fā)現(xiàn)Turla活躍時(shí)間長達(dá)8年,其利用衛(wèi)星通信固有的安全缺陷隱藏C&C服務(wù)器位置和控制中心。

自簽名證書:是一種由簽名實(shí)體頒發(fā)給自身的證書,即發(fā)布者和證書主體相同。對客戶端來說,是一種非權(quán)威、不信任的證書,而對于服務(wù)端的主要目的為數(shù)據(jù)加密和保證完整性和不可抵賴性。

1 攻擊架構(gòu)分析

以IP地址和對應(yīng)域名關(guān)系鏈為分析途徑,以SSL證書數(shù)據(jù)為分析重點(diǎn):

Screen-Shot-2016-02-09-at-12-27-59-PM.png

PassiveTotal通過對相關(guān)SSL證書哈希值進(jìn)行對比關(guān)聯(lián),發(fā)現(xiàn)Turla APT的某些連接特征可以追溯至2013年,且大量攻擊IP對應(yīng)的SSL證書與IP 83.229.75.141有關(guān),且為同一證書。以下為證書信息:

Screen-Shot-2016-02-09-at-12-29-56-PM.png

證書為有效期10年的自簽名證書,無認(rèn)證鏈和詳細(xì)信息,只有名為Ubuntu的通用名稱。該證書在2015年8月出現(xiàn),且2016年1月與一起攻擊事件的IP結(jié)點(diǎn)相關(guān):

Screen-Shot-2016-02-09-at-12-30-21-PM.png

通過與Turla攻擊架構(gòu)對比發(fā)現(xiàn),Turla攻擊中存在與此證書相關(guān)的大量IP和域名:

Screen-Shot-2016-02-09-at-12-33-05-PM.png

以SSL證書SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d為對比,我們發(fā)現(xiàn)了與6家衛(wèi)星服務(wù)運(yùn)營商相關(guān)的另外26個(gè)IP地址,這6家衛(wèi)星服務(wù)運(yùn)營商為:

Skyvision(英國衛(wèi)星服務(wù)運(yùn)營商,卡巴斯基報(bào)告中曾提及)

Sidus(美國衛(wèi)星廣播服務(wù)供應(yīng)商)

Telesat(澳門宇宙衛(wèi)星服務(wù)運(yùn)營商,卡巴斯基報(bào)告中曾提及)

Astrium(歐洲阿斯特里姆衛(wèi)星服務(wù)運(yùn)營商)

Impuls Hellas(希臘衛(wèi)星服務(wù)運(yùn)營商)

Asia Broadcast Networks(亞洲廣播衛(wèi)星公司)

2 證書變化

Turla APT 涉及的42個(gè)相關(guān)IP地址都基于同一自簽名SSL證書:

01.png

當(dāng)PassiveTotal發(fā)布了上述攻擊架構(gòu)的分析報(bào)告之后,該自簽名證書發(fā)生了改變:

02.png

02.png

SSS.jpg

以上變化表明,Turla APT并沒有放棄之前的攻擊架構(gòu),這些攻擊架構(gòu)對其可能還存在利用價(jià)值。通過對IP和對應(yīng)域名分析,結(jié)合Maltego的關(guān)聯(lián)結(jié)果,我們發(fā)現(xiàn)攻擊者基于該自簽名證書注冊了一些新的攻擊架構(gòu):

03.png

04.png

05.png

  下圖為Turla APT新注冊的IP和相關(guān)域名關(guān)聯(lián)信息:

06.png

  3 結(jié)論

Turla APT所利用的攻擊架構(gòu)雖然已不作為主要的C&C服務(wù),但仍然處于活躍狀態(tài)。證書注冊和域名變化信息表明這些攻擊架構(gòu)可能被攻擊者運(yùn)用于一些常規(guī)操作或低價(jià)值目標(biāo)攻擊活動(dòng)。

4 IOC

IP 地址:

209.239.79.69

82.146.174.240

82.146.166.61

193.220.55.6

83.229.62.212

169.255.100.152

113.208.81.33

82.146.174.40

82.146.175.52

113.208.81.48

83.229.75.141

77.246.76.19

209.239.79.121

209.239.79.125

217.194.150.31

82.146.166.58

217.194.149.111

169.255.100.122

169.255.101.65

113.208.81.55

217.8.36.239

83.229.62.210

82.146.175.48

82.146.175.69

41.203.79.74

77.73.187.223

217.194.150.22

域名:

trytowin[.]ignorelist[.]com

treesofter[.]mooo[.]com

sportinfo[.]yourtrap[.]com

profound[.]zzux[.]com

badget[.]ignorelist[.]com

norwaynews[.]mooo[.]com

dellservice[.]publicvm[.]com

priceline[.]publicvm[.]com

forumgeek[.]zzux[.]com

mouses[.]strangled[.]net

SHA-1:

f415844680ed9118ea74e0c7712b35044f0cc20d

*本文譯者:clouds,編譯來源:PassiveTotal,轉(zhuǎn)載須注明來自FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)