工具库剖析 Ursa 又名Pensive Turla
Turla(又名Pensive Ursa、Uroburos、Snake)是一个至少从2004年开局运转,总部位于俄罗斯的一个攻打组织。该组织与俄罗斯联邦安保局(FSB)有必定咨询。接上去,咱们将在这篇文章中引见Pensive Ursa工具库中最近生动的10种恶意软件:Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
MITRE ATT&CK称Turla是以其有针对性的攻打和隐身而知名,多年来,Pensive Ursa曾经成为一个先进而难以被发现的恶意软件。
正如MITRE所形容的那样,Pensive Ursa已对至少45个国度动员过攻打,包含政府实体、大使馆和军事组织,以及教育、钻研和制药公司。此外,该组织还介入了2022年2月开局的俄乌抵触。据乌克兰CERT称,Pensive Ursa应用特务攻打乌克兰指标,特意是针对其国防部门。
只管Pensive Ursa关键应用他们的特待业具瞄准Windows设备,但也会攻打macOS和Linux设备。
以下是该团队工具库中最生动的10种恶意软件。关于每种类型的恶意软件,咱们都提供了冗长的形容和剖析,以及Cortex XDR如何检测和阻止攻打。
别名:DeliveryCheck、GAMEDAY;
恶意软件类型:后门;
初次发现2022年;
Capibar(又名DeliveryCheck,GAMEDAY)是Pensive Ursa后门,于2022年终次被观察到,关键用于对乌克兰国防军启动特务优惠,经过电子邮件将其作为带有恶意宏的文档流传。
Capibar经过下载并在内存中启动负载的方案义务而·继续存在。攻打组织将Capibar作为托管对象格局(MOF)文件装置在受攻打的MS Exchange主机上,使攻打者能够齐全控制主机。
下图显示了担任加载从其命令和控制(C2)接纳的XML的代码片段,图2显示了触发的警报:
Capibar代码段加载从其C2接纳的XML
恶意软件类型:后门;
初次发现2017年
Kazuar是.NET后门,于2017年被初次发现。Kazuar提供对其操作人员所针对的受感化系统的片面访问权限,Kazuar附带了一个弱小的命令集,包含远程加载额外插件,以增强后门性能的才干。
2021年,钻研人员发现,Kazuar和俄罗斯攻打组织在 SolarWinds执行中经常使用的SUNBURST后门之间存在幽默的代码堆叠和相似之处。2023年7月,乌克兰CERT破获了一次性特务执行,Pensive Ursa则是将Kazuar作为关键后门之一。
下图显示了Cortex XDR阻止将Kazuar DLL注入explorer.exe进程,下图显示为防止Kazuar而触发的警报:
恶意软件类型:模块化后门;
初次被发现2003年;
正如CISA在2023年5月形容的那样,臭名昭著的Snake恶意软件是Pensive Ursa工具集中最复杂的工具。该工具的关键目的是成功相当长一段期间的耐久性,并从公用指标中盗取数据。自2003年以来,它曾经开展了20年。
Snake在世界50多个国度被发现,美国司法部宣布申明,宣布了MEDUSA执行。在该执行中,他们查获了Snake恶意软件优惠和P2P网络。他们经常使用了联邦考查局开发的一种名为PERSEUS的工具,将其用作Snake恶意软件的阻止攻打。
基于先前的剖析,Snake恶意软件成功了可保养的代码设计,这标明其开发者具备较高的软件开发性能。
Snake成功了以下性能:
基于HTTP和TCP的通讯协定的自定义成功;
用于隐身的内核模块;
按键记载仪性能;
Snake最近的变种包含一个相似于上方形容的感化链。
Snake恶意软件流传示例
执行时,Snake从其资源中加载并执行Pensive Ursa的PNG Dropper恶意软件,并创立一个硬编码互斥体{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C,如下图所示:
而后,PNG监禁器解码并加载一个易受攻打的VM驱动程序,该驱动程序用于权限优化,以便将主Snake负载写入磁盘,并将其注册为服务。下图所示的Snake加载程序变体检测感化链中的多个阶段,这些阶段造成部署、服务注册和执行Snake主负载。
下图显示了Cortex XDR中弹出的执行阻止警报:
检测形式下Cortex XDR中显示的Snake执行检测
Cortex XDR中显示的Snake执行阻止警报
QUIETCANARY
别名:Tunnus;
恶意软件类型:后门;
初次发现2017;
自2019年以来,人们不时在经常使用QUIETCANRY观察Pensive Ursa,Tomiris组织甚至更早地经常使用了这个后门。
Pensive Ursa于2022年9月便针对乌克兰的指标部署了QUIETCANARY,以及Kopiluwak恶意软件。
QUIETCANRY是一个用.NET编写的轻量级后门,能够执行从其C2主机接纳的各种命令,包含下载额外的有效负载和执行恣意命令。它还成功了RC4加密,以包全其C2通讯。
下图显示了QUIETCANRY后门性能的不同类,展现了QUIETCANRY触发的基于Cortex XDR多层包全的警报:
QUIETCANRY代码中不同类的代码段
下图显示了执行阻止警报:
Cortex XDR中显示的QUIETCANARY/Tunnus执行阻止警报
恶意软件类型:流传器/下载器;
初次发现2016年;
Kopiluwak恶意软件于2016年底被初次发现,它是由各种类型的滴管作为多层JavaScript而启动有效负载流传的。
Pensive Ursa在2017年20主题功势MSIL滴管监禁了Kopiluak恶意软件,并在2022年末作为SFX可执行文件监禁。
Kopiluwak的JavaScript文件如下图所示,上方是C:\Windows\Temp\ path下的代码片段。其目的是搜集无关受攻打计算机的有价值的初始剖析消息,例如:
在指标位置列出文件;
检索运转的进程;
显示优惠的网络衔接;
攻打者经过运转systeminfo、tasklist、net、ipconfig和dir等侦查命令来成功此优惠,结果保留在名为result2.dat的文件中。
在检测形式下,在Cortex XDR中显示Kopiluwak执行检测
下图列出了由Kopiluwak执行,并由Cortex XDR检测到的侦查命令:
下图显示了Cortex XDR为Kopiluwak收回执行阻止警报:
Cortex XDR中显示的Kopiluak执行阻止警报
2019年,Pensive Ursa开局经常使用Topinambour滴管递送Kopiluak。该组织将Topinambour捆绑到一个非法的软件装置程序中。
装置后,Topinambour作为一个小的.NET文件被放到%localappdata%文件夹中,并作为一个方案义务写入。而后,该恶意软件与其硬编码的C2虚构公用主机(VPS)通讯,以传递Kopiluwak恶意软件。
Cortex XDR在检测形式下显示Topinambour执行检测
下图显示了Cortex XDR弹出的阻止警报:
Cortex XDR中显示的Topinambour执行阻止警报
恶意软件类型:后门;
初次发现2年;
2020年12月,ESET钻研人员发现了Crutch后门。依据Pensive Ursa的战术、技术和程序(TTP),攻打者应用后门攻打了欧洲的几个指标,包含一个欧盟成员国的外交部。
这个后门的关键目的是窃取敏感文件,并将数据暴露到Pensive Ursa运营商控制的Dropbox帐户。经常使用Dropbox等商业服务启动C2通讯是一种已知的(但有效的)技术,由于它是一种非法的服务,并与其余网络通讯相融合。
由于代码和TTP与Pensive Ursa的另一个名为Gazer的后门有很大的相似性,Crutch被以为是第二阶段的后门,其耐久性是经过DLL劫持成功的。
下图显示了Cortex XDR中Crutch的检测和阻止:
别名:Agent.btz;
恶意软件类型:后门;
初次发生2007年
PowerShell滴管在检测形式下将ComRAT监禁到Cortex XDR中显示的磁盘
ComRAT是Pensive Ursa最新鲜的后门之一,他们在恶意软件的早期迭代中将其命名为Agent.btz。
据报道,ComRAT于2007年终次被发现。从那时起,它启动了屡次更新,截至2020年,ComRAT曾经迭代了4版。此攻打是在C++中开发的,攻打者已经常使用PowerShell植入(如PowerStalion)启动部署。
下图显示了PowerShell滴管机制。攻打者在经常使用ComRAT时的关键目的是从低价值指标那里窃取和暴露秘密文件:
Cortex XDR中显示ComRAT PowerShell滴管执行阻止警报
下图形容了Cortex XDR中的PowerShell和DLL执行阻止:
Cortex XDR中显示的ComRAT DLL执行阻止警报
恶意软件类型:后门;
初次发现2014年
Carbon是一个模块化后门框架,Pensive Ursa曾经经常使用了几年。Carbon框架包含一个装置程序、一个协调器组件、一个通讯模块和一特性能文件。
Carbon还具备P2P通讯性能,攻打者经常使用该性能向受网络上影响的其余受感化设备发送命令。Carbon经过经常使用Pastebin等非法网络服务提供商接纳C2的命令。
下图显示了Carbon在Cortex XDR中的执行检测和阻止:
Carbon创立了一个加载附加组件的服务,该服务在检测形式下显示在Cortex XDR中
Cortex XDR中显示的Carbon执行阻止警报
HyperStack
恶意软件类型:后门;
初次亮相:2018年;
HyperStack(又名SilentMo,BigBoss)是一个RPC后门,于2018年终次被发现,攻打者在针对欧洲政府实体的执行中经常使用了它。HyperStack经常使用一个控制器启动操作,该控制器经常使用命名管道经过RPC与受HyperStack感化的受攻打环境中的其余计算机启动通讯。此通讯方法使攻打者能够控制本地网络上的计算机。
HyperStack显示了与Pensive Ursa的Carbon后门的几个相似之处,如加密方案、性能文件格局和日志记载商定。
下图显示了HyperStack在Cortex XDR中的检测和阻止:
HyperStack创立了一个用于耐久性的服务,在检测形式下显示在Cortex XDR中
恶意软件类型:后门;
初次发现2021年;
TinyTurla恶意软件于2021年被Talos初次发现,他们以为这是第二阶段的后门。美国、欧盟和起初的亚洲指标都发现了这种后门。
TinyTurla的关键性能包含:
下载其余有效负载;
向攻打者的C2主机上行文件;
执行其余进程;
如下图所示,攻打者经过批处置脚本将后门装置为名为WindowsTimeService的服务。批处置脚本还担任将C2主机的数据写入注册表。一旦后门被执行,它读取这些值将与其C2通讯。
它伪装成一个名为w64time.DLL的DLL,位于system32文件夹下。
上方形容的批处置脚本的内容
只管w32time.dll是一个非法的DLL,而且其余非法的DLL确实有32位和64位的变体,但是非法的w64time.dll并不存在。这种命名惯例旨在进一步扩散受益者的留意力,使他们不发生疑心。
下图显示了Cortex XDR检测批处置脚本、W64Time服务和TinyTurla DLL执行的编写和执行:
Cortex XDR在检测形式下显示TinyTurla阻止
战术、技术和程序(TTP)
Cortex XDR警报被映射到MITRE ATT&CK框架,并提供与攻打关系的战术和技术消息,如下图所示:
Pensive Ursa关系优惠和工具库在Cortex XDR中引发了多个警报,这些警报被映射到表1中援用的MITRE ATT&CK战术和技术。
总结
妇孺皆知,Pensive Ursa初级继续攻打(APT)组织是一个关键且继续存在的攻打组织。仰仗其先进的技术,其运营组织在针对世界行业的同时,也向群众展现了一种先进的规避形式。
咱们在本文探求了Pensive Ursa工具库中排名前十的恶意软件,并经过Palo Alto Networks Cortex XDR监测了其执行环节。这标明针对先进攻击经常使用多层包全形式的关键性。
由于Pensive Ursa APT攻打的受益者或者会形成严重损失,其结果不只限于财务损失和数据暴露,还包含影响关键基础设备的或者性,这或者会对国度安保和地缘政治发生影响。因此,每个组织,无论其规模或行业如何,都必定优先思考片面的安保策略,并投资多层安保措施,以防范Pensive Ursa等APT组织日益增长的攻打。
包全缓和解措施
Palo Alto Networks Cortex XDR和XSIAM的客户可以取得针对本文形容的Pensive Ursa恶意软件库的包全。
本文针对每种恶意软件都提出了阻止和检测警报:Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
SmartScore是一个共同的机器学习驱动的评分引擎,它将安保考查方法及其关系数据转换为混合评分系统,对一个触及已知Pensive Ursa工具和技术组合的事情启动了91分的评分,这是一个十分高的危险水平,如下图所示:
SmartScore无关该事情的消息,关于Palo Alto Networks的客户,其提供了与该组织关系的以下笼罩范畴:
Cortex XDR经过剖析来自多个数据源的用户优惠来检测基于用户和凭据的攻打,这些数据源包含:
终端;
网络防火墙;
优惠目录;
身份和访问治理处置方案;
云上班负载;
Cortex XDR经过设备学习,建设用户优惠随期间变动的档案,经过将新优惠与过去的优惠、p2p优惠和实体的预期行为启动比拟。
Cortex XDR检测到标明基于凭据攻打的意外优惠,它还提供了以下与本文中探讨的攻打关系的包全措施:
经常使用基于本地剖析模块的行为攻打包全和设备学习,防止执行已知恶意软件,并防止执行未知恶意软件;
经常使用Cortex XDR 3.4提供的新凭证搜集包全,防止经常使用凭证搜集工具和技术;
经常使用Cortex XDR 3.4中最新颁布的Anti-Webshell包全,防止攻打者从web shell中监禁和执行命令;
经常使用反响用模块以及行为攻打包全来防止对不同破绽的应用,包含ProxyShell和ProxyLogon;
Cortex XDR Pro经过行为剖析检测攻打后优惠,包含基于凭据的攻打。