安全路透社
当前位置:安全路透社 > 网络转载 > 正文

威胁分析:Turla APT所用的多个IP隶属多家卫星服务运营商

sat-1.jpg

近期,PassiveTotal针对Turla APT所用IP的自签名证书进行了关联分析,最终发现Turla APT的多个攻击IP隶属于多家卫星服务运营商,并且攻击者还通过这些IP注册了大量新的C&C域名。

FreeBuf百科

Turla APT组织,也被称为Snake或者Uroboros,是迄今为止高级别的APT组织之一,卡巴斯基于2015年9月发现Turla活跃时间长达8年,其利用卫星通信固有的安全缺陷隐藏C&C服务器位置和控制中心。

自签名证书:是一种由签名实体颁发给自身的证书,即发布者和证书主体相同。对客户端来说,是一种非权威、不信任的证书,而对于服务端的主要目的为数据加密和保证完整性和不可抵赖性。

1 攻击架构分析

以IP地址和对应域名关系链为分析途径,以SSL证书数据为分析重点:

Screen-Shot-2016-02-09-at-12-27-59-PM.png

PassiveTotal通过对相关SSL证书哈希值进行对比关联,发现Turla APT的某些连接特征可以追溯至2013年,且大量攻击IP对应的SSL证书与IP 83.229.75.141有关,且为同一证书。以下为证书信息:

Screen-Shot-2016-02-09-at-12-29-56-PM.png

证书为有效期10年的自签名证书,无认证链和详细信息,只有名为Ubuntu的通用名称。该证书在2015年8月出现,且2016年1月与一起攻击事件的IP结点相关:

Screen-Shot-2016-02-09-at-12-30-21-PM.png

通过与Turla攻击架构对比发现,Turla攻击中存在与此证书相关的大量IP和域名:

Screen-Shot-2016-02-09-at-12-33-05-PM.png

以SSL证书SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d为对比,我们发现了与6家卫星服务运营商相关的另外26个IP地址,这6家卫星服务运营商为:

Skyvision(英国卫星服务运营商,卡巴斯基报告中曾提及) Sidus(美国卫星广播服务供应商) Telesat(澳门宇宙卫星服务运营商,卡巴斯基报告中曾提及) Astrium(欧洲卫星服务运营 Impuls Hellas(希腊卫星服务运营商) Asia Broadcast Networks(亚洲广播卫星公司)

2 证书变化

Turla APT 涉及的42个相关IP地址都基于同一自签名SSL证书:

01.png

当PassiveTotal发布了上述攻击架构的分析报告之后,该自签名证书发生了改变:

02.pngSSS.jpg

以上变化表明,Turla APT并没有放弃之前的攻击架构,这些攻击架构对其可能还存在利用价值。通过对IP和对应域名分析,结合Maltego的关联结果,我们发现攻击者基于该自签名证书注册了一些新的攻击架构:

03.png

04.png

05.png

下图为Turla APT新注册的IP和相关域名关联信息:

06.png

3 结论

Turla APT所利用的攻击架构虽然已不作为主要的C&C服务,但仍然处于活跃状态。证书注册和域名变化信息表明这些攻击架构可能被攻击者运用于一些常规操作或低价值目标攻击活动。

4 IOC

IP 地址:

209.239.79.69 
82.146.174.240 
82.146.166.61 
193.220.55.6 
83.229.62.212 
169.255.100.152 
113.208.81.33 
82.146.174.40 
82.146.175.52 
113.208.81.48 
83.229.75.141 
77.246.76.19 
209.239.79.121 
209.239.79.125 
217.194.150.31 
82.146.166.58 
217.194.149.111 
169.255.100.122 
169.255.101.65 
113.208.81.55 
217.8.36.239 
83.229.62.210 
82.146.175.48 
82.146.175.69 
41.203.79.74 
77.73.187.223 
217.194.150.22

域名:

trytowin[.]ignorelist[.]com  treesofter[.]mooo[.]com  sportinfo[.]yourtrap[.]com  profound[.]zzux[.]com  badget[.]ignorelist[.]com  norwaynews[.]mooo[.]com  dellservice[.]publicvm[.]com  priceline[.]publicvm[.]com  forumgeek[.]zzux[.]com  mouses[.]strangled[.]net

SHA-1:

f415844680ed9118ea74e0c7712b35044f0cc20d

*本文译者:clouds,编译来源:PassiveTotal

未经允许不得转载:安全路透社 » 威胁分析:Turla APT所用的多个IP隶属多家卫星服务运营商

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册