ESET東ペヌロッパで䜿甚されるTurla Mosquitoバックドア

Turlaは、最も有名なスパむ掻動サむバヌグルヌプの1぀です。 その兵噚庫には広範なツヌル セットがあり 、その䞭で最も高床なものは、攻撃マシンの優先順䜍を蚭定するために䜿甚されたす。 スパむプラットフォヌムは䞻にWindows指向ですが、さたざたなバックドアずルヌトキットを䜿甚しおmacOSずLinuxに䜿甚できたす。



少し前に、Turlaが䜿甚するワヌクステヌションを䟵害する新しい方法を発芋したした。 この手法は、゜ビ゚ト連邊の倧䜿通や領事通の埓業員を狙った攻撃で䜿甚されたす。









1.抂芁



Turlaは数幎間、停のAd​​obe Flash Playerむンストヌラヌを䜿甚しお被害者を䟵害したした。 そのようなベクトルは耇雑な゚クスプロむトを必芁ずしたせん;成功は、停物をむンストヌルするこずを確信しおいるナヌザヌの信甚床に䟝存したす。



近幎、Turlaバックドアの1぀に感染する異垞な新しい動䜜が確認されおいたす。 真のFlashむンストヌラヌを備えたパッケヌゞにパッケヌゞ化されおいるだけでなく、adobe.comからダりンロヌドされおいるようにも芋えたす。 ゚ンドナヌザヌの芳点から芋るず、リモヌトIPアドレスは、正芏のFlash Playerむンストヌラヌを配垃するためにアドビが䜿甚する公匏コンテンツ配信ネットワヌクCDNであるアカマむが所有しおいたす。 プロセスを調べた結果、停のFlashむンストヌラヌmacOS甚のSnakeバックドアむンストヌラヌを含むがget.adobe.com URLに察しおGETリク゚ストを行い、新しい䟵害されたマシンに関するデヌタを盗み出しおいるこずがわかりたした。 テレメトリデヌタによるず、IPアドレスはアドビが䜿甚した正圓なIPアドレスでした。



このレポヌトでは、同様の悪意のある動䜜に぀ながる可胜性のある方法に぀いお説明したす。 デヌタによるず、このマルりェアはAdobe Flash Playerの正圓な曎新を䜿甚しおおらず、Adobe補品の既知の脆匱性ずは関係ありたせん。 アドビは䟵害されおいないず安党に蚀えたす。 攻撃者はブランドを䜿甚しおナヌザヌを欺くだけでした。



たた、Turlaグルヌプは、Google Apps ScriptサヌビスでホストされおいるWebアプリケヌションをJavaScript malvariのチヌムサヌバヌCCずしお䜿甚しおいるこずを発芋したした。 攻撃者は可胜な限り静かに䜜業する傟向があり、暙的組織のネットワヌクトラフィックでの掻動を隠す傟向があるこずは明らかです。



テレメトリによるず、少なくずも2016幎7月以降、Turlaプログラムがget.adobe.com URLに情報を送信しおいるずいう蚌拠がありたす。 被害者は旧゜連の領土にいたす。 Turlaが開発したもう1぀のマルりェアであるGazerに぀いおは、東ペヌロッパの囜の領事通ず倧䜿通を暙的ずしおいたす。 民間䌁業でいく぀かの感染が確認されおいたすが、攻撃の䞻な暙的ではないようです。 最埌に、ComRATやGazerなど、Turlaが所有する他のマルりェアに感染した被害者もいたす。



2.なぜこのキャンペヌンをTurlaグルヌプに関連付けるのですか



異垞なネットワヌク接続を分析する前に、このTurlaキャンペヌンの原因を説明したす。



たず、Adobe Flash Playerの停のむンストヌラヌの䞀郚は、䞀郚のIB䌁業がTurlaに関連付けおいるMosquitoバックドアをダりンロヌドしたす。



第二に、ホストされたバックドアに関連付けられおいる䞀郚のCCサヌバヌは、Turlaに関連する SATCOM IPアドレスを䜿甚するか、以前に䜿甚したこずがありたす。



第䞉に、マルりェアはTurlaグルヌプの他のツヌルず共通の機胜を備えおいたす。 類䌌点には、同䞀の文字列難読化スタックに行をプッシュし、0x55でXORを適甚するず同じAPI解像床が含たれたす。



リストされた項目を䜿甚するず、キャンペヌンずTurlaずの関係を自信を持っお刀断できたす。



3. Adob​​e FlashおよびFlash関連ドメむンの違法な䜿甚



停のFlashむンストヌラヌを䜿甚するこずは、Turlaにずっお新しい戊術ではありたせん。 そのため、2014幎に専門家がこの動䜜を文曞化したした。 ただし、私たちの意芋では、マルりェアはたずアドビの正圓なURLずIPからHTTP経由でダりンロヌドされたす。 これは、経隓豊富なナヌザヌにずっおも混乱を招く可胜性がありたす。



3.1。 adobe.comを介した暡倣配垃



2016幎8月の初めから、admdownload.adobe.comからTurlaむンストヌラヌをダりンロヌドしようずする詊みがいく぀か芋぀かりたした。



䞀芋、TCP゜ケットがCCサヌバヌのIPアドレスにむンストヌルされおいる間に、HTTP芁求のHostヘッダヌを蚭定するずいう兞型的なトリックが衚瀺されるように思われたした。 しかし、詳现な分析の結果、IPアドレスは正圓であり、正圓なFlashむンストヌラヌを配垃するためにアドビが䜿甚する倧芏暡コンテンツ配信ネットワヌクCDNであるAkamaiに属しおいるこずがわかりたした。



実行可胜ファむルが正圓なURLたずえば、 http://admdownload.adobe.com/bin/live/flashplayer27_xa_install.exe



からダりンロヌドされた堎合でも、参照元フィヌルドは倉曎されたように芋えたす。 このフィヌルドがhttp://get.adobe.com/flashplayer/download/?installer=Flash_Player



に倉曎され、Adobeが䜿甚するURLパタヌンずはhttp://get.adobe.com/flashplayer/download/?installer=Flash_Player



、リク゚ストで404゚ラヌが発生するこずがわかりたした。



収集されたデヌタで芋぀かったすべおのダりンロヌド詊行は、HTTPSではなくHTTP経由で行われたこずに泚意するこずが重芁です。 これにより、ナヌザヌのマシンからアカマむサヌバヌに至るたでの幅広い攻撃を実行できたす。



次のセクションでは、朜圚的な䟵害シナリオに぀いお説明したす。 実際に䜕が起こったのかずいう問題は未解決のたたです。 远加情報があればフィヌドバックをお寄せください。



3.2。 劥協の仮説



図1は、Turlaマルりェアをダりンロヌドするために、おそらくHTTP経由で正圓なAdobe Webサむトにアクセスするナヌザヌを匷制する方法を説明できる仮説を瀺しおいたす。





図1.被害者ずなる可胜性のあるマシンずアドビのサヌバヌずの間の経路䞊で起こりうる傍受ポむント



IPアドレスはAdobeがFlashを配垃するために䜿甚するサヌバヌに察応しおいるため、䞍正なDNSサヌバヌの仮説をすばやく排陀したした。 アドビずの話し合いず調査に基づいたシナリオ5は、攻撃者がFlash Playerダりンロヌドサむトを䟵害しなかったため、ありそうにないようです。 したがっお、次のオプションが残りたす。



1ロヌカルネットワヌク内の䟵害されたマシンを䜿甚した「䞭間者」MitMによる攻撃、

2䟵害されたネットワヌクゲヌトりェむたたはプロキシ組織

3むンタヌネットサヌビスプロバむダヌISPのレベルでのMitM攻撃、

4BGPルヌタヌに察する攻撃 Border Gateway Protocolハむゞャック により、Turlaが制埡するサヌバヌにトラフィックをリダむレクトしたす。



3.2.1。 MitMロヌカル攻撃



Turlaのオペレヌタヌは、被害を受けた組織のネットワヌクで既に䟵害されたマシンを䜿甚しお、ロヌカルのMitM攻撃を実行する可胜性がありたす。 ARPスプヌフィングを䜿甚しお、タヌゲットマシンから䟵害されたマシンに即座にトラフィックをリダむレクトできたす。 そしお、Turlaの兵噚庫でそのようなツヌルが利甚できるこずを認識しおいたせんが、このグルヌプの技術的胜力を考えるず、開発するのは難しくありたせん。



しかし、さたざたな組織で倚くの犠牲者が芋぀かりたした。 これは、Turlaがこれらの各組織内の少なくずも1台のコンピュヌタヌ、たたは優先タヌゲットのサブネット内のコンピュヌタヌを䟵害する必芁があるこずを意味したす。



3.2.2。 䟵害されたゲヌトりェむ



この攻撃は前の攻撃ず䌌おいたすが、攻撃者にずっおははるかに興味深いものです-ゲヌトりェむずプロキシは通垞、むントラネットずむンタヌネット間のすべおの着信および発信トラフィックを芋るため、ARPスプヌフィングなしで組織党䜓のトラフィックを傍受できたす。 Turlaで同様の問題を解決するツヌルの有無に぀いおは知りたせんが、圌らのルヌトキットUroburosにはパッケヌゞを分析する機胜がありたす。 サヌバヌにむンストヌルし、プロキシずしお䜿甚しお、パブリックIPアドレスを持たない感染したマシンにタスクを分散できたす 。 Turlaには、りロブロスコヌドを倉曎しおトラフィックを即座に傍受し、悪意のあるコンポヌネントを導入したり、暗号化されおいないコンテンツを倉曎したりするための十分な専門知識ずリ゜ヌスがありたす。



3.2.3。 プロバむダヌMitM攻撃



組織の内郚ネットワヌクを離れる前にトラフィックが傍受されなかった堎合、トラフィックは埌で倉曎され、Adobeサヌバヌに到達したす。 このセグメントの䞻なアクセスポむントは、むンタヌネットプロバむダヌです。 ESETは以前 、ISPレベルでのパッケヌゞの実装によるFinFisherスパむりェアの配垃を発衚したした。



私たちが知っおいるすべおの犠牲者は旧゜連の囜にいたす。 少なくずも4぀のむンタヌネットプロバむダヌのサヌビスを䜿甚したす。 したがっお、このシナリオでは、Turlaがさたざたな囜たたはデヌタ䌝送チャネルのトラフィックを監芖する機胜を持っおいるず想定しおいたす。



3.2.4。 BGPルヌタヌぞの攻撃



トラフィックがサヌビスプロバむダヌによっお倉化せず、Adobeサヌバヌに到達しない堎合、Turlaオペレヌタヌによっお制埡されおいる別のサヌバヌにリダむレクトされるこずを意味したす。 これは、次のいずれかの方法を䜿甚しおBGPルヌタヌを攻撃するこずで実行できたす。



䞀方では、Turlaのオペレヌタヌは、自埋システムASを䜿甚しお、adobe.comが所有するプレフィックスをアドバタむズできたす。 このようにしお、Turla ASによっお制埡される堎所に近い堎所からadobe.comに送信されるトラフィックは、サヌバヌに送信されたす。 このような悪意のある掻動の䟋は、 RIPE によっお分析されたした 。 ただし、これはアドビたたはBGP監芖を実行するサヌビスですぐに認識されたす。 さらに、RIPEstatの統蚈情報を確認したしたが、このキャンペヌンで䜿甚されたAdobe IPアドレスの疑わしいルヌト広告に気付きたせんでした。



䞀方、Turlaオペレヌタヌは、ASを䜿甚しお、Adobeサヌバヌぞの他のASよりも短いパスを宣蚀できたす。 したがっお、トラフィックもルヌタヌを通過し、リアルタむムで傍受および倉曎される可胜性がありたす。 ただし、アドビのサヌバヌぞのトラフィックのほずんどは蚱可されおいないルヌタヌにリダむレクトされたす。このような戊術は停装するのが難しく、2016幎8月の開始埌すぐにキャンペヌンが怜出される可胜性がありたす。



3.2.5。 たずめ



図1に瀺されおいる5぀のシナリオのうち、Adobeが䟵害されおいないず確信しおいるため、4぀だけを調査したした。 BGPルヌタヌぞの攻撃ずサヌビスプロバむダヌレベルでのMitM攻撃は、他のものよりも耇雑です。 Turlaグルヌプは、タヌゲット組織のロヌカルゲヌトりェむにむンストヌルされた特別なツヌルを䜿甚するず想定しおいたす。これにより、トラフィックがむントラネットを離れる前に傍受および倉曎できるようになりたす。



3.3。 get.adobe.com URLから情報を取埗する



ナヌザヌが停のむンストヌラヌFlashをダりンロヌドしお起動するず、䟵害のプロセスが始たりたす。 Turlaバックドアの導入から始たりたす。 これは、セクション4で説明した32ビットWindows甚のマルりェアMosquitoである可胜性がありたす。 セクション5で説明したGoogle Apps Script Webアプリケヌションず通信する悪意のあるJavaScriptファむル。 たたは、アドビの停のURLからダりンロヌドされた䞍明なファむル

http://get.adobe.com/flashplayer/download/update/[x32|x64]







埌者の堎合、このようなURLはAdobeサヌバヌ䞊に存圚しないため、コンテンツをTurlaグルヌプに転送するには、䟵害されたマシンずAdobeサヌバヌ間のパスにMitMなどが必芁です。



次に、新しい䟵害されたマシンに関する情報を衚瀺するク゚リが衚瀺されたす。 これはhttp://get.adobe.com/stats/AbfFcBebD/q=<base64-encoded data>



GETリク゚ストです。 蚘録によるず、アドビは正圓なIPアドレスを䜿甚しおいたすが、URLパタヌンはアドビが䜿甚しおいるものず類䌌しおいないため、リク゚スト時に404゚ラヌが発生したす。 芁求はHTTP経由であるため、セクション3.2で前述したMitM攻撃スクリプトが䜿甚される可胜性が最も高くなりたす。





図2.停のURL get.adobe.comのリク゚ストを実行するコヌド



Base64で暗号化されたデヌタには、被害者のマシンに関する機密情報が含たれおいたす。 圌女が実際にアドビのサヌバヌに行ったのは奇劙だろう。 図3は、埩号化されたレポヌトの䟋を瀺しおいたす。 デヌタには、䞀意のID図4に瀺すように、Flashむンストヌラヌの停のむンストヌラヌの最埌の8バむト、ナヌザヌ名、むンストヌルされおいるセキュリティ補品のリスト、およびARPテヌブルが含たれたす。





図3.停のURL URL get.adobe.comに送信されたむンストヌルレポヌト





図4.むンストヌラヌの最埌にある䞀意のID



興味深いこずに、 macOS甚のSnakeむンストヌラヌ Turla関連のバックドアは、図5ず同じURLを䜿甚したす。送信される情報は、ナヌザヌ名ずデバむス名のみを含むため、base64で゚ンコヌドされたすが、わずかに異なりたす。 ただし、この動䜜は、分析の公開時にFox-ITによっお文曞化されおいたせんでした。





図5. macOSのSnakeむンストヌラヌの代替URL get.adobe.comでリク゚ストを実行するコヌド



最埌に、停のむンストヌラヌが正圓なFlash Playerアプリケヌションを挿入たたはダりンロヌドしお起動したす。 正芏のむンストヌラヌは、停のむンストヌラヌに組み蟌たれるか、GoogleドラむブURLぞの次のパスを䜿甚しおダりンロヌドされたす https://drive.google[.]com/uc?authuser=0&id=0B_LlMiKUOIstM0RRekVEbnFfaXc&export=download



: https://drive.google[.]com/uc?authuser=0&id=0B_LlMiKUOIstM0RRekVEbnFfaXc&export=download







4. Win32バックドア分析



このセクションでは、䞻に2017幎にむンザワむルドで発芋されたサンプルに぀いお説明したす。 キャンペヌンが数幎間続いおいるずいう蚌拠が芋぀かりたした。2017幎のサンプルは、 InstructionerDLL.dll



ファむルぞのバックドアの進化の結果です。 以前のサンプルは難読化されおいたせんでした;ロヌダヌなしのバックドアDLLのみが含たれおいたした。 叀いサンプルの䞀郚には、2009幎のコンパむルタむムスタンプがありたすが、ほずんどの堎合調敎されおいたす。



4.1。 むンストヌラヌ



停のFlashむンストヌラヌずしお提䟛され、さらにディスクにフラッシュされる2぀の远加コンポヌネントが付属しおいたす。 䞊蚘で説明したように、アドビが正芏のむンストヌラヌを配垃するために䜿甚したURLおよびIPから停のFlashむンストヌラヌをダりンロヌドしたナヌザヌがいく぀か芋぀かりたした。



4.1.1。 暗号化



新しいバヌゞョンでは、暗号化を䜿甚しお、むンストヌラヌは垞に難読化されおいたす。 図6は、このツヌルで難読化された関数の䟋を瀺しおいたす。





図6.難読化された関数



たず、この暗号化プログラムは、算術挔算ずずもにファゞヌ述語を広く䜿甚したす。 たずえば、難読化された関数は、ハヌドコヌディングされた倀から数倀を蚈算し、別のハヌドコヌディングされた倀ず倧きさを比范したす。 したがっお、各実行䞭、プロセスのフロヌは同じになりたすが、正しいパスを決定するにぱミュレヌションが必芁です。 そのため、アナリストず自動セキュリティ゜フトりェアアルゎリズムの䞡方を分析するには、コヌドが耇雑すぎたす。 これにより、時間制限のためにオブゞェクトがスキャンされない皋床に゚ミュレヌションが遅くなり、その結果、瀺された難読化されおいない堎合マルりェアが怜出されなくなりたす。



次に、難読化解陀の最初の段階の埌、Win32 API SetupDiGetClassDevs(0,0,0,0xFFFFFFFF)



呌び出しが行われ、暗号化プログラムは受信した倀が0xE000021Aず䞀臎するかどうかを確認したす。 この関数は通垞、システム内のデバむスに関する情報を取埗するために䜿甚されたす。 テストによるず、 Flags (0xFFFFFFFF)



の特定の倀は文曞化されおいたせんが、Windows 7およびWindows 10のマシンでは、結果の倀は垞に0xE000021A



に察応したす。方法。



第䞉に、このコヌドはいく぀かのフラグメントに分割され、特別な関数を䜿甚しお解読され、実行時にメモリ内にPEを䜜成するように順序付けられたす。 次に、PE゚ンコヌダヌのブヌトロヌダヌ機胜を䜿甚しお実行されたす。 このPEロヌダヌには、図7に瀺すように、いく぀かのデバッグ行が含たれおいたす。





図7. PEロヌダヌ機胜のデバッグ行



4.1.2。 蚭眮



埩号化埌、むンストヌラヌは%APPDATA%



サブフォルダヌを怜玢し、2぀のファむルを最長パスのフォルダヌにドロップしたす。 このようなフォルダヌを怜玢する堎合、名前にAVAST



ずいう単語が含たれるフォルダヌはすべおバむパスされたす。 次に、このフォルダヌ内の隠されおいないファむルの1぀の名前を、拡匵子が切り取られたものをダンプファむルのベヌス名ずしお䜿甚したす。 ディレクトリ内のすべおのファむルが非衚瀺の堎合、たたはディレクトリが空の堎合、 %WINDIR%\System32



DLL名が䜿甚されたす。 リセットブヌトロヌダヌの拡匵子は.tlb



で、メむンのバックドアは.pdb



です。 興味深いこずに、2぀のDLLをフラッシュするためにWriteFile



を䜿甚したせん。 代わりに、ファむルを䜜成しおメモリ内にマヌクし、 memmove



を呌び出しおデヌタをコピヌしたす。 おそらくこれは、 WriteFile



セキュリティ補品ずサンドボックスぞのフックをバむパスするために行われたす。



たた、 .tlb



拡匵子を持぀ファむルを1぀だけダりンロヌドする以前のむンストヌラヌオプションも確認したした。 この堎合、同じファむルにブヌトロヌダヌ機胜ずバックドア機胜が含たれおいたす。 DllMain



は、実行するコヌドを遞択したす。



圌は、単玔な暗号化されおいないログファむルを%APPDATA%\kb6867.bin



たす。 完党なファむルは、これら2぀のDLLず同じディレクトリに䜜成され、拡匵子は.tnl



です。





図8.ランダムな子ディレクトリに䜜成されたファむルAPPDATA



次に、Runレゞストリキヌを䜿甚するか、 COMをむンタヌセプトしお氞続性を提䟛したす。 Windows Management InstrumentationWMIによっお取埗されたりむルス察策衚瀺名がTotal Securityず䞀臎する堎合、 rundll32.exe



[バックドアぞのパス]゚ントリStartRoutine



をHKCU\Software\Microsoft\Windows\CurrentVersion\Run\auto_update



たす。



それ以倖の堎合、 HKCR\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32



たたはHKCR\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32



のレゞストリ゚ントリを眮き換えたす。 これらのCLSIDは、それぞれEhStorShell.dll



ずntshrui.dll



です。 これらのDLLは、 explorer.exe



Windows GUIを含む倚くのプロセスによっお正圓に起動されたす。 したがっお、ブヌトロヌダヌはexplorer.exe



起動されるたびに呌び出されたす。 最埌に、図9に瀺すように、元のむンタヌセプトされたDLLずメむンバックドアぞのパスを栌玍するレゞストリ゚ントリを远加したす。





図9.持続可胜性のためのレゞストリの倉曎



残りのCLSIDはバむナリにハヌドコヌディングされおいたすが、䜿甚されたこずは確認しおいたせん。 完党なリストは、䟵害の兆候を瀺すセクションで入手できたす。



前のセクションで説明したように、むンストヌラヌは䞀意のサンプルID、ナヌザヌ名、ARPテヌブルなどの情報をAdobeドメむンURL get.adobe.com



送信したす。 たた、実際のAdobe Flashむンストヌラヌも起動したす。これは、Googleドラむブからダりンロヌドするか、停のむンストヌラヌに組み蟌むこずができたす。



メむンバックドアを開始する前に、むンストヌラヌはsysQ!123



パスワヌドでHelpAssistant



管理者HelpAssistant



たたは䞀郚のサンプルではsysQ!123



をsysQ!123



たす。 LocalAccountTokenFilterPolicy



が1



に倉曎され、リモヌト管理アクションが蚱可されたす。 このアカりント名は正圓なリモヌトアシスタンスセッション䞭に䜿甚されるため、このアカりント名は気付かないために必芁であるず考えおいたす。



4.2。 DebugParserランチャヌ



DebugParser.dll



ず呌ばれるランチャヌは、むンタヌセプトされたCOMオブゞェクトの読み蟌み䞭に呌び出されたす。 圌は、メむンのバックドアを起動し、むンタヌセプトされたCOMオブゞェクトをロヌドする責任がありたす。 コンポヌネントの簡略化された擬䌌コヌドを図10に瀺したす。





図10.擬䌌コヌドの起動



ただし、むンタヌセプトされたラむブラリをロヌドしお正しいアドレスに戻るためにいく぀かのトリックを䜿甚したす。 プロセスは以䞋のずおりです。



1. LoadLibrary



正圓な呌び出しの埌、元の返信先アドレスを取埗したす。 DllMain



の開始時DllMain



ESPレゞストリ倀が保存されたす。 次に、圌はESP-6でFF 15



オペレヌションコヌドCALLの呌び出しをチェックしたす。存圚する堎合、レゞストリは元の返信先アドレスを残したす。





図11. LoadLibraryを呌び出した埌のアドレスの怜玢



2.次の倀を含むRWXメモリを割り圓おたす。





図12.メモリ割り圓お



3. DllMain



応答DllMain



倉曎しお、代行受信機胜に移動しDllMain



。



4.むンタヌセプト機胜で

a。 ntshrui.dll



たたは他のむンタヌセプトされたラむブラリの読み蟌みを担圓する関数の呌び出し

b。 DebugParser.dll



バックドアロヌダヌぞのFreeLibrary



呌び出し

c。 代行受信前の元の応答アドレスぞのナビゲヌション。



元のDLLがロヌドされおいるため、ナヌザヌはバックドアが実行されおいるこずに気付かないでしょう。



ブヌトロヌダヌずバックドアの機胜が1぀のファむルにたずめられおいる初期のバヌゞョンでは、 DllMain



は実行するコヌドを遞択したす図13を参照。





図13. 1぀のラむブラリのロヌダヌずバックドア



4.3。 メむンバックドア



このキャンペヌンのメむンのバックドアであるCommanderDLL.dll



は、䜜成者によっお呜名されたものであり、遞択された氞続化メカニズムがレゞストリのRunキヌである堎合、䞊蚘のブヌトロヌダヌによっお起動されるか、起動時に盎接起動されたす。 どちらの堎合も、図14に瀺すように、 StartRoutine



ラむブラリの゚クスポヌトがStartRoutine



れたすが、この゚クスポヌトはDLL゚クスポヌトテヌブルにはありたせん。





図14. DLLの.relocセクションにEXPORTアドレステヌブルがありたせん



DllMain



関数で、出力甚の゚クスポヌトテヌブルが䜜成されたす。

1.単䞀の゚クスポヌトの名前ずしおIMAGE_EXPORT_DIRECTORY



を䜿甚しおIMAGE_EXPORT_DIRECTORY



構造を䜜成したす

2.メモリ内のPEむメヌゞの最埌にあるパヌティションを移動した埌、この構造をコピヌしたす

3.゚クスポヌトテヌブルの盞察仮想アドレスRVAを含むPEのヘッダヌフィヌルドを、新しく䜜成された゚クスポヌトテヌブルのアドレスに倉曎したす。



これらの倉曎により、図15および16に瀺すように、むンメモリラむブラリにはStartRoutine



ずいう゚クスポヌトがありたす。図17は、この゚クスポヌトを远加するプロセス党䜓のコヌドを瀺すHex-RaysデStartRoutine



のスクリヌンショットです。





図15.新しく䜜成された゚クスポヌトテヌブル





図16.新しい゚クスポヌトの名前





図17.゚クスポヌトテヌブルのパッチ適甚プロセス



4.3.1。 カスタマむズ



たず、 CommanderDLL



モゞュヌルはドロッパヌファむル停のFlashむンストヌラヌを削陀したす。 パスは、 \\.\pipe\namedpipe



ずいう名前のパむプを介しおドロッパヌから枡されたす。 次に、新しいプロセスで、2番目の名前付きパむプ\\.\pipe\ms32loc



を䜜成し、別のプロセスがこのチャネルに接続するたで埅機したす。その埌、プログラムは終了したす。



次に、CommanderDLLはいく぀かの内郚構造を構成し、構成倀をレゞストリに保存したす。 è¡š1では、 HKCU\Software\Microsoft\[dllname]



栌玍されおいるさたざたなレゞストリ倀に぀いお説明しおいたす。



è¡š1.レゞストリのバックドア倀





レむアりト゚ントリを陀くすべおのレゞストリ倀は、セクション4.3.2で説明されおいる特別なアルゎリズムを䜿甚しお暗号化されたす。



3 番目に、CCサヌバヌの远加アドレスは、Google Docs https://docs.google [。] Com / ucAuthuser = 0id = 0B_wY-Tu90pbjTDllRENWNkNma0kexport = downloadに保存されおいるドキュメントからダりンロヌドされたす。 4.3.2で説明されおいるアルゎリズムを䜿甚しお暗号化されたす。



4.3.1。 暗号化



バックドアは特別な暗号化アルゎリズムを䜿甚したす。プレヌンテキストの各バむトは、Blum Blum Shubアルゎリズムに類䌌した関数によっお生成されたストリヌムにモゞュロ2で远加されたす。暗号化たたは埩号化の堎合、キヌずモゞュヌルは暗号化機胜に転送されたす。



異なるサンプルは異なるキヌずモゞュヌルを䜿甚したす。䞀郚はハヌドコヌディングされおおり、䞀郚は実行䞭に生成されたす。衚2に、マルりェアが䜿甚するさたざたなキヌずモゞュヌルを瀺したす。



è¡š2.暗号化キヌずモゞュヌル





4.3.3。ログ



プログラムはず呌ばれるログファむルを保持したす[dllname].tnl



。興味深いこずに、各レコヌドのタむムスタンプが含たれおいるため、䟵害されたマシンで発生する䞀連のむベントを远跡できたす。これは、サむバヌ犯眪者にずっお有甚です。䞊蚘のアルゎリズムを䜿甚しお暗号化されたす。キヌは、ログファむルのヘッダヌの0x20のむンデントの埌にあり、モゞュヌルは垞に0x5DEE0B89です。図18に、このファむルの構造を瀺したす。





図18.ログファむルの構造





図19.ログファむルの開始



4.3.4。CCサヌバヌのデヌタ亀換ずバックドアコマンド



メむンのバックドアルヌプは、CCサヌバヌずのデヌタ亀換を管理し、送信されたコマンドを実行したす。それらのそれぞれの開始時に、圌はランダムな期間非アクティブですが、通垞は玄12分です。



サヌバヌぞの芁求は垞に同じスキヌムにURLを䜿甚しおいたすhttps://[C&C server domain]/scripts/m/query.php?id=[base64(encrypted data)]



。ナヌザ゚ヌゞェントは、ハヌドコヌドされた詊料であり、倉曎するこずはできたせん。

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36







このデフォルト倀は、Google Chromeの41のパラメヌタの構成に䜿甚されるid



図20に蚘茉されおいる





図20のCCぞのク゚リの構造-パラメヌタIDのデヌタずGETサヌバ芁求



前のパタヌン- id



GET芁求パラメヌタヌに構造が含たれる堎合Data



。ただし、デヌタはCookieフルネヌムたたはPOSTリク゚ストに含たれおいる堎合がありたす。図21は、さたざたな可胜性を説明しおいたす。



これらすべおの堎合においお、暗号化キヌはid



URL 構造の最初のDWORDです。 0x7DFDC101モゞュヌルず組み合わせたキヌは、構造id



、POSTデヌタ、およびCookie倀を解読できたす。次に、デヌタ構造からのペむロヌドが埩号化されたす。





図21は、芁求を遞択する



元の芁求は、コマンドの結果ずしお䟵入したマシンの䞀般的な情報が含たれipconfig



、set



、whoami



およびtasklist



。



その埌、CCサヌバヌは䞀連の指瀺の1぀を応答ずしお発行したす。この答えの構造を図21に瀺したす。パケットは、セクション4.3.2で説明したBlum Blum Shubから借甚した同じアルゎリズムで完党に暗号化されたす最初の4バむトを陀く。各呜什セットは、キヌが0x3EB13、モゞュヌルが0x7DFDC101で個別に暗号化されたす。





図22. CC応答パケットの構造



バックドアは、バむナリファむルにハヌドコヌドされた事前定矩枈みのアクションを実行できたす。衚3に、䜿甚可胜なコマンドの簡単な説明を瀺したす。



è¡š3.䜿甚可胜なバックドアコマンドの説明





䞀郚の分析サンプルでは、​​バックドアはPowerShellスクリプトも実行できたす。



5. JavaScriptバックドア分析



䞀郚の停のFlashむンストヌラヌは、Mosquitoの代わりに2぀のJavaScriptバックドアを提䟛したす。これらのファむルは、フォルダヌ内のディスクにフラッシュされたす%APPDATA%\Microsoft\



。圌らは呌ばれgoogle_update_checker.js local_update_checker.js



たす。



最初は、Google Apps ScriptサヌビスでホストされおいるWebアプリケヌションずやり取りし(https://script.google[.]com/macros/s/AKfycbwF_VS5wHqlHmi4EQoljEtIsjmglLBO69n_2n_k2KtBqWXLk3w/exec)



たす。base64で゚ンコヌドされた応答を期埅しおいたす。次に、evalを䜿甚しおデコヌドされたコンテンツを実行したす。远加のバックドアの正確な目的はわかりたせんが、远加のマリバリをダりンロヌドしたり、悪意のあるJavaScriptコヌドを盎接実行したりするために䜿甚できたす。氞続性を確保するために、倀Shell



をに远加したすHKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon



。



2番目のJavaScriptファむルは%ProgramData%\1.txt



、関数を䜿甚しおコンテンツを読み取り、実行したすeval



。氞続性を確保するために、䟡倀を远加したすlocal_update_check



c HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



。



6.結論



このキャンペヌンは、Turlaサむバヌグルヌプが悪意のあるトラフィックを正圓なものずしおマスクする倚くのツヌルを持っおいるこずを瀺しおいたす。䜿甚する方法は、経隓豊富なナヌザヌにずっおも混乱を招く可胜性がありたす。 HTTPを䜿甚するず、このような攻撃の有効性が䜎䞋する可胜性がありたす。このプロトコルでは、マシンからリモヌトサヌバヌぞの途䞭で暗号化されたトラフィックを傍受しお眮き換えるこずはより困難です。 Adobeむンストヌラヌずは異なり、Turlaが䜿甚するファむルは眲名されおいないため、ファむル眲名の怜蚌は疑わしいはずです。



さらに、この新しいキャンペヌンは、東ペヌロッパにある領事通ず倧䜿通に察するトゥルラの関心を瀺しおいたす。グルヌプは、これらの情報源ぞのアクセスを提䟛するために倚くの努力をしおいたす。



キャンペヌン関連の質問に぀いおは、threatintel @ eset.comにお問い合わせください。



7.䟵害の指暙



7.1。 コマンドサヌバヌアドレス幎単䜍



2017: smallcloud.ga

2017: fleetwood.tk

2017: docs.google.com/uc?authuser=0&id=0B_wY-Tu90pbjTDllRENW

NkNma0k&export=download (adstore.twilightparadox.com)

2017: bigpen.ga

2017: https://script.google.com/macros/s/AKfycbxxPPyGP3Z5wgwbs

mXDgaNcQ6DCDf63vih-Te_jKf9SMj8TkTie/exec

2017: https://script.google.com/macros/s/AKfycbwF_VS5wHqlH

mi4EQoljEtIsjmglLBO69n_2n_k2KtBqWXLk3w/exec

2017-2015: ebay-global.publicvm.com

2017-2014: psychology-blog.ezua.com

2016: agony.compress.to

2016: gallop.mefound.com

2016: auberdine.etowns.net

2016: skyrim.3d-game.com

2016: officebuild.4irc.com

2016: sendmessage.mooo.com

2016, 2014: robot.wikaba.com

2015: tellmemore.4irc.com








7.2。 アドビの停アドレス



http://get.adobe[.]com/stats/AbfFcBebD/?q=<base64-encoded data>

http://get.adobe[.]com/flashplayer/download/update/x32

http://get.adobe[.]com/flashplayer/download/update/x64








7.3。 正圓なFlashむンストヌラヌの非公匏アドレス



https://drive.google[.]com/uc?authuser=0&id=0B_LlMiKUOIsteEtraEJYM0QxQVE&export=download

https://drive.google[.]com/uc?authuser=0&id=0B_LlMiKUOIstM0RRekVEbnFfaXc&export=download








7.4。 ハッシュ









7.5。 Windowsアヌティファクト



7.5.1。むンタヌセプトされたCLSID



{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}

{08244EE6-92F0-47F2-9FC9-929BAA2E7235}

{4E14FBA2-2E22-11D1-9964-00C04FBBB345}

{B5F8350B-0548-48B1-A6EE-88BD00B4A5E7}

{603D3801-BD81-11D0-A3A5-00C04FD706EC}

{F82B4EF1-93A9-4DDE-8015-F7950A1A6E31}

{9207D8C7-E7C8-412E-87F8-2E61171BD291}

{A3B3C46C-05D8-429B-BF66-87068B4CE563}

{0997898B-0713-11D2-A4AA-00C04F8EEB3E}

{603D3801-BD81-11D0-A3A5-00C04FD706EC}

{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}








7.5.2。 ファむル



フォルダヌ内の同じ名前で異なる拡匵子.tlb、.pdb、および.tnlを持぀3぀のファむル%APPDATA%





%APPDATA%\kb6867.bin



簡略化されたログファむル



7.6。ESET怜出



7.6.1。最近のサンプル



Win32/Turla.CQ

Win32/Turla.CP

Win32/Turla.CR

Win32/Turla.CS

Win32/Turla.CT

Win32/Turla.CU

Win32/Turla.CV

Win32/Turla.CW

Win32/Turla.CX








7.6.2。叀いオプション



Win32/TrojanDownloader.CAM

Win32/TrojanDownloader.DMU








7.6.3。JavaScriptバックドア



JS/Agent.NWB

JS/TrojanDownloader.Agent.REG







All Articles