间谍软件是恶意程序的一种,能够在受害者不知情的情况下,在其计算机上安装后门并收集个人信息或其他敏感信息。
Turla被认为是史上最复杂的APT(高级持续性威胁)间谍软件,由BAE的安全研究人员首次发现。研究人员认为它由是由俄罗斯网络专家开发的,并且很可能属于莫斯科政府网络武器计划的一部分。
ESET的研究人员最近发现,Turla目前仍处于活跃状态,并且经过了新技术的升级改造,正在用于针对后苏联各国使领馆的新活动。
Turla目前被发现正使用社交工程来诱骗不知情的目标人员执行虚假的Adobe Flash Player安装程序,旨在窃取敏感信息。
虽然,在之前的活动中,Turla也采用了伪装成Flash Player的攻击方式。但根据ESET的介绍,Turla背后的团队不仅将其后门与合法的Flash Player安装程序捆绑在一起,而且进一步复合,确保它使用的URL和IP地址似乎与Adobe的合法基础结构相对应。如此做法,可以使得受害者更容易相信软件来自Adobe官方,而不会怀疑其是恶意程序。
ESET的研究人员已经提出了几个假设(如下图所示),展示了Turla是如何通过新方法将后门程序安装到受害者的计算机上的。
研究人员考虑到的攻击媒介可能包括:
受害者组织网络内的一台设备可能被劫持,因此它成为了中间人(MitM)攻击的跳板。这将实际上涉及将目标设备的流量重定向到本地网络上的受感染设备;
攻击者还可能危及组织的网关,使其能够拦截该组织的内网和互联网之间的所有传入和传出流量;
通信拦截也可能发生在互联网服务提供商(ISP)的层面上,这一策略(最近ESET针对部署FinFisher间谍软件的监视活动的研究就证明了这一点)并不是前所未闻的。所有已知的受害者都位于不同的国家,研究人员使用至少四个不同的ISP来识别他们。
攻击者可能使用边界网关协议(BGP)劫持重新路由流量到Turla控制的服务器,虽然这种策略可能会相当迅速地触发与Adobe或BGP监控服务相关的警报。
一旦虚假Flash Player安装程序被下载并执行,几个后门程序中的一个将会被安装。它可能是Mosquito,一种Win32恶意软件。恶意JavaScript文件与Google Apps脚本上托管的Web应用程序通信,或者是从伪造的和不存在的Adobe URL下载的未知文件。
后门程序将会窃取受害者的敏感信息,这包括受感染计算机的唯一ID、用户名以及安装在设备上的安全产品列表。
在这个过程的最后一部分,虚假Flash Player应用程序将会自行卸载,然后运行合法的Flash Player应用程序。后者的安装程序要么嵌入在其伪造的对象中,要么从Google Drive下载。
此外,ESET的研究人员表示,已经在实际攻击活动中发现了后门程序Mosquito的新变种样本。它使用了新的反调试、反仿真(anti-emulation,anti-VM)技术和代码混淆技术,使得恶意软件研究人员和安全软件的代码分析变得更困难。
为了在系统上建立持久性,安装程序还会篡改操作系统的注册表,并创建一个允许远程访问的管理帐户。
主后门CommanderDLL有.pdb扩展名。它使用自定义的加密算法,并可以执行某些预定义的操作,通过加密的日志文件跟踪受感染设备上的所有内容。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
来源:网络攻防
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!