史诗般的 Turla 行动

史诗般的 Turla 行动 ： 解决 Snake / Uroboros 的一些奥秘卡巴斯基实验室全球研究与分析团队版本 1.02014 年 8 月 6 日 2TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. com技术附录 ： 恶意软件样本和妥协指标 (IOC)A.键盘记录模块文件名: 变化MD5 ： a3cbf6179d437909eb532b7319b3dafe 编译时间戳 ： 2012.10. 02 10: 51: 50 （ GMT ） 编译器 ： Microsoft Visual Studio 2010文件格式 ： PE32 DLL导出: _ LowLevelKeyboardProc @ 12创建日志文件 ：% TEMP%\ ~ DFD3O8. tmp。如果失败 ， 则尝试写入文件f:\ keyhook. log每次键盘记录程序启动时 ， 它都会将以下标头追加到日志文件中 ：新会话:% 完全限定的计算机名%% timestamp%然后 ， 它创建一个隐藏的控制台窗口 ， 并将其唯一的 export _ LowLevelKeyboardProc @ 12 注册为低级键盘输入事件的挂钩过程 （ WH _ KEYBOARD _ LL 挂钩 ） 。根据结果 ， 它将一行写入其日志文件。如果安装了挂钩 ， 则该行为"已启动..." ， 否则 "LoadLibrary '% 路径到其文件%' 失败 ，% 错误代码% 。"它还启动一个每 100 毫秒检索当前前台窗口句柄的线程 ， 然后在键盘挂钩过程中使用该句柄。低级键盘挂钩过程会截取 WM _ KEYDOWN 、 WM _ KEYUP 和 WM _ SYSKEYDOWN 系统消息 ， 并将有关每个击键的信息写入日志文件。每当新窗口变为活动状态时 ， 它都会检索其名称和其应用程序的路径 ， 并将此信息写入日志文件 ：[% 到应用程序的可执行文件的路径%: “% window title% ”] 3TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. comB.“Epic / Tavdig / Wipbot ” 后门 （ 主后门模块 ）分析文件 （ 其他文件类似 ） ：编译时间戳 ： 2013.10. 15 10: 43: 09 （ GMT ）文件格式 ： PE32 DLL ， 修改 （ 该文件应该由自定义加载程序启动 ）出口:1000837F: ModuleStart 100083A9: ModuleStop 100083BB: 开始主要功能在由 DllMain 入口点调用的单个函数中实现。导出的函数允许直接调用相同的函数 (导出为 “start ”) 或在单独的线程 (“ ModuleStart ” / “ModuleStop ”) 中启动 / 停止它, 并且参数略有不同。这表明后门也可以用作 Turla Carbon 系统的插件。主要函数在无限循环中执行。它收集有关系统的大多数可用信息 ， 将其传输到 C & C 服务器并执行其收到的命令。模块在发现具有以下文件名之一的正在运行的进程时 ， 会随机延迟执行 ：•tcpdump. exe•windump. exe•ethereal. exe•wireshark. exe•ettercap. exe•snoop. exe•dsniff. exe将收集以下系统信息 ：1.硬件信息。•注册表项HKEY _ LOCAL _ MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SystemInformation, 值名称:系统制造商,SystemProductName.•键的所有注册表子项硬件\ 说明\ System\ CentralProcessor, 值名称:ProcessorNameString.•可用系统内存状态 ， 总计 / 空闲。2.操作系统版本信息 ； 已知的最新版本是 Windows 7 / 2008R2 。身份不明版本标记为 “不支持此版本的 Windows ” 。3.计算机名称 ("ComputerNamePhysicalDnsFullyQualified") 。 4TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. com4.用户名、本地组名。5.常用目录名称 ： 系统、当前、临时目录。6.其他系统信息 ：•系统和用户语言设置•用户区域设置信息 ： 国家名称 ， 当前日期 ， 时区。•正常运行时间7.所有可用逻辑驱动器的磁盘空间信息。8.可用网络共享列表。9.所有用户帐户、特权类别、上次登录时间的列表。10.当前 IPV4 TCP 连接和 UDP 侦听器列表。11.有关从文件安装的 Windows 更新的信息% WINDOWS%\ SoftwareDistribution\ ReportingEvents. log.12.正在运行的进程及其所有者的详细列表。13.所有窗口标题的列表。14.可用逻辑驱动器和目录的目录列表 ：•台式机•% TEMP%•% WINDOWS%\ Temp检索到的信息使用 bzip2 进行压缩 ， 使用 AES 进行加密 ， 然后使用 Base64 进行编码 ， 然后再传输到 C ＆ C 服务器。当有文件等待上传时 （ 通常 ， 这是包含先前接收和执行的命令的结果的文件 ） ， 从磁盘读取并上传到服务器 ， 而不是系统信息。C & C 通信是在标准 HTTP / HTTPS 协议之上实现的。 C & C URL 的列表在二进制文件中被硬编码, 但是可以被进一步的命令覆盖。C & C 服务器通信周期 5TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. com执行命令 ， 将其输出重定向到文件% TEMP%\ ~ D% random%. tmp.然后在下一个 C & C 通信周期期间上传该文件。exeDescription名称该模块使用 Wininet API 函数向服务器发出 HTTP POST 请求。该模块在 POST 请求的正文中传输收集的信息 ， 并从服务器的响应中获取新命令。如果没有新信息要上传 ， 则请求正文可以为空。响应通常是 HTML 文档 ， 命令是 Base64 编码的字符串< div > / < / div >标签。每个命令都使用带有临时 AES 会话密钥的非对称加密进行加密。每个命令都是一个混合的文本 / 二进制缓冲区。它由两部分组成: 有效载荷和配置。配置是一个控制模块进一步行为的 INI 文件。它被提取到一个名为% TEMP%\ ~ D% random%. tmp如果有效负载存在 ， 则应该是可执行文件 ， 并且如果在 INI 部分中存在相应的命令 ， 则可以执行该有效负载。解码命令的格式如下 ：C & C 命令缓冲区的格式可用的命令有 ：down 将 C & C URL 更改为给定值。结果设置应该包含命令执行结果的文件名。实际上 ， 任何现有文件都可以通过此命令标记为上载。del _ task 删除文件。 6TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. comname 设置要删除或创建的文件名 （ 取决于其他参数 ）标记文件% TEMP%\ ~ tmp085. dat要在重新启动时删除。删除Description名称 7TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. comC.恶意软件示例横向移动工具:a3cbf6179d437909eb532b7319b3dafe - 自定义键盘记录程序 1369fee289fe7798a02cde100a5e91d8 - UPX 压缩的 “dnsquery. exe ” c0c03b71684eb0545f9182f5f9928caEpic / Tavdig 后门 ：4dc22c1695d1f275c3b6e503a1b171f5 111ed2f02d8af54d0b982d8c9dd4932e 7731d42b04386555925846464fe1c9851324b354f8cfb6a181906ceaf9a7ec28b0 fdba4370b60eda1ee852c6515da9da58 3ab3d463575a011dda154600b5 a347af5ccc3c3c3c5429911e167b7ba6b6bb6b8b16bbd7ca9cf72753df7392bfeea834bcf992 - 由 Java CVE - 2012 - 1723 删 除 利 用 42b7b0bd4795fc8e336e1f145fc2d27cab686acde338c67db8ab42519714273 8e90d8b68a053d22b54fb39f1cf01a41 d22b0ec0ecec477977e779b2302c07f38c83507643e5cdf8d643e5c1ec0f64f64bc64bc81c80e441602449856e57d1105496023f458 8TLP: 绿色如有任何查询 ， 请联系 intelreports @ kaspersky. com安装 Epic 和 Turla Carbon 系统的 Dropper 软件包 ：c7617251d523f3bc4189d53df1985ca9 - Postanovlenie apelljacionnoj instanci. scr 0f76ef2e6572befdc2ca1ca2ab15e5a1 - Opredelenie. scrSpearphishing 攻击中使用的 PDF 漏洞降低了 Epic 后门 ：6776bda19a3a8ed4c2870c34279dba9 - Note _ No 107 - 41D. pdf dba209c99df5e94c13b1f44c0f23ef2b - 未知. PDF f44b1dea7e56b5eac95c12732d6435 - 未知. PDF 4caaaaae52bf7674 -SCR / EXE 文件 - 用于鱼叉式钓鱼 / 社会工程 ：4d667af648047f2bd24511ef8f36c9cc - 北约在叙利亚的立场。scr ab686acde338c67bec8ab42519714273 - 俄罗斯在叙利亚的立场。scr 1c3634c77bd6667936ec279bac5c2a - 谈话要点。scr 80323d1f7033bf33875624914a6a6010 - 程序。scr 77083b1709681d43a1b0503057b6f096 - 安全协议。scr 01a15540481f28163e7b4908034efbe3 - 未知。exe ("WorldCpSec") 6a24071fde3b5d713c58801dcd62044 - 未知。exe ("WorldCpSec") 626955d20325371aca2742a70d6861ab - 未知。exe ("TadjMahal") 16eba8e5f0440a213935e1af4976d801 - 未知。exe ("RssiaPositios") 0c35a8f9f9f9b6ab2f7e3b4408abc61f73 - pdfview 。exe d685403d000f8f6b25a6746f6f05a51c - wiword..伪造的 “Adobe Flash Player ” 史诗后门安装程序 ：7c52c340ec5c6f57ef2fd174e6490433 - adobe _ flash _ player. exe 030f5fdb78bfc1ce7b459d3cc2cf1877 - S