您现在的位置: 华盟网 >> 手机 >> 网络安全 >> 正文

威胁分析:Turla APT所用的多个IP隶属多家卫星服务运营商

作者: clouds    文章来源: 黑白之道     阅读量:


近期,PassiveTotal针对Turla APT所用IP的自签名证书进行了关联分析,最终发现Turla APT的多个攻击IP隶属于多家卫星服务运营商,并且攻击者还通过这些IP注册了大量新的C&C域名

  Turla APT组织,也被称为Snake或者Uroboros,是迄今为止高级别的APT组织之一,卡巴斯基于2015年9月发现Turla活跃时间长达8年,其利用卫星通信固有的安全缺陷隐藏C&C服务器位置和控制中心。

  自签名证书:是一种由签名实体颁发给自身的证书,即发布者和证书主体相同。对客户端来说,是一种非权威、不信任的证书,而对于服务端的主要目的为数据加密和保证完整性和不可抵赖性。

  1 攻击架构分析

  以IP地址和对应域名关系链为分析途径,以SSL证书数据为分析重点:

  

Screen-Shot-2016-02-09-at-12-27-59-PM.png

  PassiveTotal通过对相关SSL证书哈希值进行对比关联,发现Turla APT的某些连接特征可以追溯至2013年,且大量攻击IP对应的SSL证书与IP 83.229.75.141有关,且为同一证书。以下为证书信息:

  

Screen-Shot-2016-02-09-at-12-29-56-PM.png

  证书为有效期10年的自签名证书,无认证链和详细信息,只有名为Ubuntu的通用名称。该证书在2015年8月出现,且2016年1月与一起攻击事件的IP结点相关:

  

Screen-Shot-2016-02-09-at-12-30-21-PM.png

  通过与Turla攻击架构对比发现,Turla攻击中存在与此证书相关的大量IP和域名

  

Screen-Shot-2016-02-09-at-12-33-05-PM.png

  以SSL证书SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d为对比,我们发现了与6家卫星服务运营商相关的另外26个IP地址,这6家卫星服务运营商为:

  Skyvision(英国卫星服务运营商,卡巴斯基报告中曾提及)

  Sidus(美国卫星广播服务供应商)

  Telesat(澳门宇宙卫星服务运营商,卡巴斯基报告中曾提及)

  Astrium(欧洲阿斯特里姆卫星服务运营商)

  Impuls Hellas(希腊卫星服务运营商)

  Asia Broadcast Networks(亚洲广播卫星公司)

  2 证书变化

  Turla APT 涉及的42个相关IP地址都基于同一自签名SSL证书:

  

01.png

  当PassiveTotal发布了上述攻击架构的分析报告之后,该自签名证书发生了改变:

  

02.png
SSS.jpg

  以上变化表明,Turla APT并没有放弃之前的攻击架构,这些攻击架构对其可能还存在利用价值。通过对IP和对应域名分析,结合Maltego的关联结果,我们发现攻击者基于该自签名证书注册了一些新的攻击架构:

  03.png

  04.png

  05.png

  下图为Turla APT新注册的IP和相关域名关联信息:

  06.png

  3 结论

  Turla APT所利用的攻击架构虽然已不作为主要的C&C服务,但仍然处于活跃状态。证书注册和域名变化信息表明这些攻击架构可能被攻击者运用于一些常规操作或低价值目标攻击活动。

  4 IOC

  IP 地址:

209.239.79.69 
82.146.174.240 
82.146.166.61 
193.220.55.6 
83.229.62.212 
169.255.100.152 
113.208.81.33 
82.146.174.40 
82.146.175.52 
113.208.81.48 
83.229.75.141 
77.246.76.19 
209.239.79.121 
209.239.79.125 
217.194.150.31 
82.146.166.58 
217.194.149.111 
169.255.100.122 
169.255.101.65 
113.208.81.55 
217.8.36.239 
83.229.62.210 
82.146.175.48 
82.146.175.69 
41.203.79.74 
77.73.187.223 
217.194.150.22

  域名:

trytowin[.]ignorelist[.]com 
treesofter[.]mooo[.]com 
sportinfo[.]yourtrap[.]com 
profound[.]zzux[.]com 
badget[.]ignorelist[.]com 
norwaynews[.]mooo[.]com 
dellservice[.]publicvm[.]com  priceline[.]publicvm[.]com 
forumgeek[.]zzux[.]com 
mouses[.]strangled[.]net

  SHA-1:

  f415844680ed9118ea74e0c7712b35044f0cc20d

        
阅读原文     举报

  • 上一篇文章:
  • 下一篇文章: 没有了
  •