研究人員報(bào)告說(shuō)，Turla高級(jí)持續(xù)性威脅（APT）組織又回來(lái)了，他們使用了一個(gè)新的后門(mén)來(lái)感染阿富汗、德國(guó)和美國(guó)的系統(tǒng)。研究人員說(shuō)，他們已經(jīng)發(fā)現(xiàn)了可能是Turla集團(tuán)（又名Snake、Venomous Bear、Uroburos和WhiteBear）--一個(gè)俄羅斯籍的APT組織的攻擊行為。他們指出，這些攻擊很可能會(huì)使用一個(gè)隱蔽的second-chance后門(mén)來(lái)維持被感染的設(shè)備的訪問(wèn)權(quán)限。

　　“second-chance ”的含義是指，它很難被清除，即使被感染的機(jī)器清除了主要的惡意軟件，攻擊者也能繼續(xù)保持對(duì)系統(tǒng)的訪問(wèn)。

　　據(jù)報(bào)道，這個(gè)被稱為T(mén)inyTurla的新型后門(mén)可以用來(lái)投放有效載荷，上傳或執(zhí)行文件。它還可以被用作第二級(jí)投放器，使用其他的惡意軟件來(lái)感染系統(tǒng)。同時(shí)，后門(mén)代碼也相當(dāng)簡(jiǎn)單，但執(zhí)行效率很高，它通?？梢岳@過(guò)殺毒軟件。

　　TinyTurla是如何進(jìn)行攻擊的

　　研究人員表示，攻擊者會(huì)將TinyTurla偽裝成 “Windows Time Service ”服務(wù)，同時(shí)用于同步運(yùn)行在活動(dòng)目錄域服務(wù)（AD DS）中的系統(tǒng)的日期和時(shí)間。

　　TinyTurla還模仿合法的Windows時(shí)間服務(wù)，能夠上傳、執(zhí)行或竊取文件。該后門(mén)通過(guò)HTTPS加密通道每五秒鐘與一個(gè)命令和控制（C2）服務(wù)器聯(lián)系，來(lái)檢查新的命令。

　　由于TinyTurla的功能有限且編碼簡(jiǎn)單，反惡意軟件工具很難檢測(cè)到它是惡意軟件。這也就解釋了為什么盡管攻擊者從 2020年 就開(kāi)始部署它，但是它一直沒(méi)有被發(fā)現(xiàn)。Turla在安全行業(yè)是眾所周知的，并且也受到了安全行業(yè)的密切關(guān)注。然而，他們還是使用了這個(gè)后門(mén)進(jìn)行攻擊持續(xù)了兩年之久，這很清楚地表明，我們?cè)诜烙矫孢€有很多改進(jìn)的余地。

　　然而，網(wǎng)絡(luò)流量中的那個(gè)每五秒鐘執(zhí)行一次的情況可以被一些防御系統(tǒng)發(fā)現(xiàn)，他們指出，這是一個(gè)很好的例子，這說(shuō)明了將基于網(wǎng)絡(luò)行為的檢測(cè)納入到你的安全體系中是多么的重要。

　　TinyTurla軟件攻擊的具體方式

　　攻擊者使用了一個(gè)。BAT文件，該文件將TinyTurla安裝為一個(gè)看起來(lái)很正常的微軟Windows Time服務(wù)，并且還在注冊(cè)表中設(shè)置了后門(mén)使用的配置參數(shù)。

　　該惡意軟件的DLL ServiceMain啟動(dòng)功能除了執(zhí)行一個(gè)被稱為 “main_malware ”的函數(shù)外，其他的什么都沒(méi)有做，并且該函數(shù)包括了后門(mén)代碼。他們認(rèn)為這個(gè)動(dòng)態(tài)鏈接庫(kù)（DLL）相當(dāng)簡(jiǎn)單，它僅由幾個(gè)函數(shù)和兩個(gè) “while ”循環(huán)組成。

　　研究人員指出，雖然Turla經(jīng)常使用復(fù)雜的惡意軟件，但該組織也會(huì)使用像這樣的很簡(jiǎn)單的惡意軟件來(lái)掩人耳目。

　　不過(guò)，APT行為者的攻擊并不完美，在防檢測(cè)方面也犯過(guò)很多錯(cuò)誤。例如，Talos已經(jīng)監(jiān)測(cè)到了許多Turla的攻擊行動(dòng)，在他們的活動(dòng)中，他們會(huì)經(jīng)常重復(fù)使用被攻擊的服務(wù)器進(jìn)行操作，他們一般會(huì)通過(guò)SSH訪問(wèn)，而且還由Tor保護(hù)。因此認(rèn)為這個(gè)后門(mén)是Turla組織的一個(gè)原因是，他們使用的基礎(chǔ)設(shè)施與他們用于其他攻擊的基礎(chǔ)設(shè)施相同，這些攻擊被溯源來(lái)自于他們的Turla基礎(chǔ)設(shè)施。

　　誰(shuí)是Turla？

　　根據(jù)卡巴斯基的研究，Turla APT可以追溯到2004年或更早。今年1月，該公司表示，Turla惡意軟件可能會(huì)被用于SolarWinds攻擊，因?yàn)榭ò退够芯咳藛T發(fā)現(xiàn)，在那一系列供應(yīng)鏈攻擊中使用的Sunburst后門(mén)與Turla的Kazuar后門(mén)的代碼存在相似性。

　　當(dāng)時(shí)，卡巴斯基將Turla認(rèn)為 “這是一個(gè)復(fù)雜的網(wǎng)絡(luò)攻擊平臺(tái)，主要集中在外交和政府相關(guān)的目標(biāo)上，特別是在中東、中亞和遠(yuǎn)東亞洲、歐洲、北美和南美以及前蘇聯(lián)集團(tuán)國(guó)家?！?/p>

　　APT組織已經(jīng)開(kāi)發(fā)了一個(gè)巨大的武器庫(kù)來(lái)使自己的攻擊性更強(qiáng)。除了可能與SolarWinds中使用的Sunburst后門(mén)有關(guān)，Turla還與Crutch等知名惡意軟件有關(guān)。該軟件在去年12月針對(duì)歐盟國(guó)家的間諜攻擊中使用了Dropbox。此外，還與Kazuar后門(mén)有關(guān)，Palo Alto Networks在2017年將其描述為一個(gè)具有API訪問(wèn)功能的多平臺(tái)間諜后門(mén)。

　　研究人員指出，對(duì)俄羅斯攻擊者的監(jiān)測(cè)、技術(shù)證據(jù)的采集、以及戰(zhàn)術(shù)、技術(shù)和程序（TTPs）的研究都有助于在這個(gè)最新的案例中追溯到Turla。

　　用于針對(duì)阿富汗政府進(jìn)行攻擊

　　思科的Talos首次發(fā)現(xiàn)了TinyTurla后門(mén)，當(dāng)時(shí)它在塔利班政變和西方軍事力量撤出的準(zhǔn)備階段開(kāi)始針對(duì)阿富汗政府進(jìn)行攻擊。

　　管理員通常很難核實(shí)所有的正在運(yùn)行的服務(wù)都是合法的，它需要進(jìn)行網(wǎng)絡(luò)監(jiān)控，提醒安全團(tuán)隊(duì)注意這些感染。同時(shí)，最重要的是要有檢測(cè)運(yùn)行未知服務(wù)的軟件或自動(dòng)系統(tǒng)，以及一支能夠?qū)赡苁芨腥镜南到y(tǒng)進(jìn)行適當(dāng)取證分析的專業(yè)人員隊(duì)伍。

　　研究人員最后敦促各個(gè)組織采用多層次的安全架構(gòu)來(lái)檢測(cè)這類攻擊，攻擊者設(shè)法繞過(guò)一個(gè)或兩個(gè)安全措施并非不可能，但他們要繞過(guò)所有的這些措施那就難多了。

　　他們預(yù)計(jì)Turla攻擊活動(dòng)可能會(huì)在可預(yù)見(jiàn)的未來(lái)繼續(xù)進(jìn)行下去。