联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


威胁分析:Turla APT所用的多个IP隶属多家卫星服务运营商
2016-8-23
来源:freebuf
点击数: 5247          作者:江苏天网
  • sat-1.jpg

    近期,PassiveTotal针对Turla APT所用IP的自签名证书进行了关联分析,最终发现Turla APT的多个攻击IP隶属于多家卫星服务运营商,并且攻击者还通过这些IP注册了大量新的C&C域名。

    FreeBuf百科

    Turla APT组织,也被称为Snake或者Uroboros,是迄今为止高级别的APT组织之一,卡巴斯基于2015年9月发现Turla活跃时间长达8年,其利用卫星通信固有的安全缺陷隐藏C&C服务器位置和控制中心。

    自签名证书:是一种由签名实体颁发给自身的证书,即发布者和证书主体相同。对客户端来说,是一种非权威、不信任的证书,而对于服务端的主要目的为数据加密和保证完整性和不可抵赖性。

    1 攻击架构分析

    以IP地址和对应域名关系链为分析途径,以SSL证书数据为分析重点:

    Screen-Shot-2016-02-09-at-12-27-59-PM.png

    PassiveTotal通过对相关SSL证书哈希值进行对比关联,发现Turla APT的某些连接特征可以追溯至2013年,且大量攻击IP对应的SSL证书与IP 83.229.75.141有关,且为同一证书。以下为证书信息:

    Screen-Shot-2016-02-09-at-12-29-56-PM.png

    证书为有效期10年的自签名证书,无认证链和详细信息,只有名为Ubuntu的通用名称。该证书在2015年8月出现,且2016年1月与一起攻击事件的IP结点相关:

    Screen-Shot-2016-02-09-at-12-30-21-PM.png

    通过与Turla攻击架构对比发现,Turla攻击中存在与此证书相关的大量IP和域名:

    Screen-Shot-2016-02-09-at-12-33-05-PM.png

    以SSL证书SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d为对比,我们发现了与6家卫星服务运营商相关的另外26个IP地址,这6家卫星服务运营商为:

    
    

    Skyvision(英国卫星服务运营商,卡巴斯基报告中曾提及) Sidus(美国卫星广播服务供应商) Telesat(澳门宇宙卫星服务运营商,卡巴斯基报告中曾提及) Astrium(欧洲卫星服务运营 Impuls Hellas(希腊卫星服务运营商) Asia Broadcast Networks(亚洲广播卫星公司)

    2 证书变化

    Turla APT 涉及的42个相关IP地址都基于同一自签名SSL证书:

    01.png

    当PassiveTotal发布了上述攻击架构的分析报告之后,该自签名证书发生了改变:

    02.pngSSS.jpg

    以上变化表明,Turla APT并没有放弃之前的攻击架构,这些攻击架构对其可能还存在利用价值。通过对IP和对应域名分析,结合Maltego的关联结果,我们发现攻击者基于该自签名证书注册了一些新的攻击架构:

    03.png

    04.png

    05.png

    下图为Turla APT新注册的IP和相关域名关联信息:

    06.png

    3 结论

    Turla APT所利用的攻击架构虽然已不作为主要的C&C服务,但仍然处于活跃状态。证书注册和域名变化信息表明这些攻击架构可能被攻击者运用于一些常规操作或低价值目标攻击活动。

    4 IOC

    IP 地址:

    209.239.79.69  82.146.174.240 
    82.146.166.61 
    193.220.55.6 
    83.229.62.212 
    169.255.100.152 
    113.208.81.33 
    82.146.174.40 
    82.146.175.52 
    113.208.81.48 
    83.229.75.141 
    77.246.76.19 
    209.239.79.121 
    209.239.79.125 
    217.194.150.31 
    82.146.166.58 
    217.194.149.111 
    169.255.100.122 
    169.255.101.65 
    113.208.81.55 
    217.8.36.239 
    83.229.62.210 
    82.146.175.48 
    82.146.175.69 
    41.203.79.74 
    77.73.187.223 
    217.194.150.22

    域名:

    
    

    trytowin[.]ignorelist[.]com  treesofter[.]mooo[.]com  sportinfo[.]yourtrap[.]com  profound[.]zzux[.]com  badget[.]ignorelist[.]com  norwaynews[.]mooo[.]com  dellservice[.]publicvm[.]com  priceline[.]publicvm[.]com  forumgeek[.]zzux[.]com  mouses[.]strangled[.]net

    SHA-1:

    f415844680ed9118ea74e0c7712b35044f0cc20d

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019