近期, PassiveTotal 针对Turla APT所用IP的自签名证书进行了关联分析,最终发现Turla APT的多个攻击IP隶属于多家卫星服务运营商,并且攻击者还通过这些IP注册了大量新的C&C域名。
FreeBuf百科
Turla APT组织,也被称为Snake或者Uroboros,是迄今为止高级别的APT组织之一,卡巴斯基于2015年9月发现Turla活跃时间长达8年,其利用卫星通信固有的安全缺陷隐藏C&C服务器位置和控制中心。
自签名证书:是一种由签名实体颁发给自身的证书,即发布者和证书主体相同。对客户端来说,是一种非权威、不信任的证书,而对于服务端的主要目的为数据加密和保证完整性和不可抵赖性。
1 攻击架构分析
以IP地址和对应域名关系链为分析途径,以SSL证书数据为分析重点:
PassiveTotal通过对相关SSL证书哈希值进行对比关联,发现Turla APT的某些连接特征可以追溯至2013年,且大量攻击IP对应的SSL证书与IP 83.229.75.141有关,且为同一证书。以下为证书信息:
证书为有效期10年的自签名证书,无认证链和详细信息,只有名为Ubuntu的通用名称。该证书在2015年8月出现,且2016年1月与一起攻击事件的IP结点相关:
通过与Turla攻击架构对比发现,Turla攻击中存在与此证书相关的大量IP和域名:
以SSL证书SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d为对比,我们发现了与6家卫星服务运营商相关的另外26个IP地址,这6家卫星服务运营商为:
Skyvision(英国卫星服务运营商,卡巴斯基报告中曾提及) Sidus(美国卫星广播服务供应商) Telesat(澳门宇宙卫星服务运营商,卡巴斯基报告中曾提及) Astrium(欧洲 阿 斯 特 里 姆 卫星 服务运营 商 ) Impuls Hellas(希腊卫星服务运营商) Asia Broadcast Networks(亚洲广播卫星公司)
2 证书变化
Turla APT 涉及的42个相关IP地址都基于同一自签名SSL证书:
当PassiveTotal发布了上述攻击架构的分析报告之后,该自签名证书发生了改变:
以上变化表明,Turla APT并没有放弃之前的攻击架构,这些攻击架构对其可能还存在利用价值。通过对IP和对应域名分析,结合Maltego的关联结果,我们发现攻击者基于该自签名证书注册了一些新的攻击架构:
下图为Turla APT新注册的IP和相关域名关联信息:
3 结论
Turla APT所利用的攻击架构虽然已不作为主要的C&C服务,但仍然处于活跃状态。证书注册和域名变化信息表明这些攻击架构可能被攻击者运用于一些常规操作或低价值目标攻击活动。
4 IOC
IP 地址:
209.239.79.69
82.146.174.240
82.146.166.61