Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
 kyb. Waffen Waffenkategorie Spionage Sabotage Schläfer Spezialwaffen Analyse W.-Entwicklung Sonderwaffen Katalog
Roter Oktober  T u r l aSlingshot Slingshor V i p e r  Agent.Btx  Bundestrojaner  Conficker  ChameleonD u Q Flame Gauss   Mini Flame FrameGaussIcefogMahdiMask/ CaretoMini DukeObad aReginD u q
Die kybernetischen Kampfmittel

Die kybernetischen Waffen

Aufklärungs und Spionagewaffen

Turla

- Erzeugnis- beschreibung

 

 

 

 

 

 
 
Quelle :Securelist
Übersetzung : deutsch
english Übersetzt mit Google

Das Epos Turla


Lösung einiger der Geheimnisse der Schlange / Uroburos
Von GReAT am 7. August 2014 01.55 Uhr
Publikationen


Tweet
APT Cyber-Spionage SOCIAL ENGINEERING Schwachstellen und
EXPLOITS HOLE ANGRIFFE
Inhalt

Zusammenfassung

Die epische Turla Angriffe

Die Wasserloch-Angriffe

Die Epic-Command-and-Control-Infrastruktur

Die Epic / Tavdig / Wipbot Hintertür

Seitliche Bewegung und ein Upgrade auf komplexere Hintertüren

Sprache Artefakte

Opfer-Statistiken

Zusammenfassung


Seite 2
Technischer Anhang mit IOCs
Zusammenfassung
In den letzten 10 Monaten haben sich die Forscher von Kaspersky Lab eine massive Cyber-Spionage analysiert
Operation, die wir als "Epische Turla". Die Angreifer hinter Epische Turla haben mehrere infiziert
hundert Computer in mehr als 45 Ländern, darunter auch Regierungsinstitutionen, Botschaften,
Militär, Bildung, Forschung und Pharmaunternehmen.
Die Angriffe sind bekannt, mindestens zwei Zero-Day-Exploits verwendet haben:

CVE-2013-5065 - Rechteausweitung Schwachstelle in Windows XP und Windows 2003

CVE-2013-3346 - Beliebige Codeausführung ermöglichen-in Adobe Reader
Wir beobachteten auch Exploits gegen ältere (gepatcht) Sicherheitslücken, Social Engineering-Techniken
und Wasserloch Strategien in dieser Angriffe. Der primäre Hintertür in der epischen Angriffe verwendet wird, ist
auch als "WorldCupSec", "TadjMakhal", "Wipbot" oder "Tavdig" bekannt.
Wenn G-Data veröffentlicht auf Turla / Uroburos im Februar blieben einige Fragen
unbeantwortet. Eine große Unbekannte war die Infektionsvektor für Turla (auch bekannt als Snake oder Uroburos). Unsere
Analyse zeigt, dass die Opfer über ein ausgeklügeltes mehrstufiges Angriff, der beginnt infiziert
mit der epischen Turla. In der Zeit, als die Angreifer Vertrauen zu gewinnen, wird dies mehr aktualisiert
anspruchsvolle Hintertüren, wie der Kohlenstoff / Cobra-System. Manchmal, beide Hintertüren ausgeführt werden
Tandem und zur "Rettung" miteinander verwendet werden, wenn die Kommunikation mit einer der Hintertüren verloren.
Sobald die Angreifer erhalten die notwendigen Anmeldeinformationen ohne das Opfer bemerkt, implementieren sie die
Rootkit und andere extreme Persistenz-Mechanismen.
Die Angriffe sind noch nicht abgeschlossen, wie der Juli 2014 aktiv für Nutzer in Europa und dem Nahen
Osten.
Hinweis: Eine vollständige Analyse der EPIC-Angriffen steht den Kaspersky Intelligent Services
Abonnenten. Kontakt: intelreports@kaspersky.com
Die epische Turla Angriffe
Die Angriffe in dieser Kampagne fallen in verschiedene Kategorien je nach dem Vektor in verwendet
die anfängliche Kompromiss:

Spearphishing E-Mails mit Adobe PDF-Exploits (CVE-2013 bis 3346 + CVE-2013 bis 5065)

Social Engineering, um den Benutzer in laufende Malware Installateure mit ".SCR" Erweiterung Trick,
manchmal mit RAR gepackt

Wasserloch Angriffe mit Hilfe von Java-Exploits (CVE-2012 bis 1723), Flash-Exploits (unbekannt) oder
Internet Explorer 6,7,8 nutzt (unbekannt)

Wasserloch Angriffe, die auf Social-Engineering angewiesen, um den Benutzer in Lauf gefälschte Trick "Flash-
Player "Malware-Installateure
Die Angreifer verwenden sowohl direkte spearphishing und Wasserloch-Attacken, um ihre Opfer zu infizieren.
Wasserstellen (Wasserlöcher) sind Websites von Interesse für die Opfer, die kompromittiert worden
von den Angreifern und injiziert, um bösartigen Code zu dienen.


Seite 3
Bisher haben wir nicht in der Lage, jede E-Mail gegen die Opfer, nur die Anlagen verwendet zu lokalisieren.
Die PDF-Anhänge keine "Köder", um dem Opfer zu zeigen, wenn sie geöffnet, aber der SCR
Pakete irgendwann zeigen eine saubere PDF nach erfolgreicher Installation.


Einige der bekannten Namen in den Anhang spearphishing Angriffe verwendet werden, sind:

. فينج رمتؤ rar (Übersetzung aus dem Arabischen: "Genf conference.rar")

NATO Position auf Syria.scr

Note_№107-41D.pdf

Reden Points.scr

border_security_protocol.rar

Sicherheits protocol.scr

Program.scr
In einigen Fällen können diese Dateinamen Hinweise auf die Art der Opfer sind die Angreifer bieten
Targeting.
Die Wasserloch-Angriffe
Derzeit laufen die epische Angreifer ein riesiges Netz von Wasserstellen, die Besucher mit chirurgischen Ziel
Präzision.
Einige der Websites injiziert gehören:


Seite 4
Die Website der City Hall von Pinor, Spanien


Eine Website zur Förderung des Unternehmertums im Grenzgebiet von Rumänien


Seite 5
Palästinensische Autonomiebehörde Ministerium für auswärtige Angelegenheiten
Insgesamt beobachteten wir mehr als 100 eingespritzt Websites. Derzeit sind die meisten der injizierten
Seiten ist in Rumänien.
Hier ist eine Statistik auf den Internetseiten eingespritzt:


Seite 6
Die Verteilung ist natürlich nicht zufällig, und es einige der Interessen der Angreifer reflektiert. Für
Beispiel Rumänien viele der infizierten Stellen sind im Bereich Esch, während viele der
Spanisch infizierten Websites gehören zu den lokalen Regierungen (Rathaus).
Die meisten der infizierten Websites verwenden das TYPO3 CMS (siehe: http://typo3.org/ ), Die das anzeigen könnte
Angreifer missbrauchen gezielt eine Schwachstelle in diesem Publishing-Plattform.
Injiziert Webseiten laden ein Fern JavaScript in dem Browser des Opfers:


Seite 7
Das Skript "sitenavigatoin.js" ist ein Pinlady-Stil-Browser und Plugin-Erkennung Skript, die wiederum,
leitet zu einem PHP-Skript manchmal main.php oder wreq.php. Manchmal, die Angreifer
registrieren .JPG Erweiterung mit dem PHP-Handler auf dem Server, mit "JPG" Dateien auf PHP laufen
Scripts:


Profiling-Skript
Der Haupt Ausbeutung Skript "wreq.php", "main.php" oder "main.jpg" führt eine Anzahl von Aufgaben.
Wir haben mehrere Versionen dieses Skript, das verschiedene Mechanismen Ausbeutung versuchen entfernt.
Eine Version dieses Skript versucht, Internet Explorer-Versionen 6, 7 und 8 zu nutzen:




Seite 8
Internet Explorer Ausbeutung Skript
Leider haben die Internet Explorer-Exploits noch nicht abgerufen wurden.
Eine weitere neuere Version versucht, Oracle Sun Java und Adobe Flash Player nutzen:


Java und Flash Player Ausbeutung Skripte
Obwohl die Flash Player-Exploits nicht abgerufen werden konnte, haben wir es schaffen, die Java zu erhalten
Exploits:

Name

MD5

alljhtmll

536eca0defc14eff0a38b64c74e03c79

allj.jar

f41077c4734ef27dec41c89223136cf8

allj64htmll

15060a4b998d8e288589d31ccd230f86

allj64.jar

e481f5ea90d684e5986e70e6338539b4

lstj.jar

21cbc17b28126b88b954b3b123958b46

lstjhtmll

acae4a875cd160c015adfdea57bd62c4


Name
MD5
alljhtmll
536eca0defc14eff0a38b64c74e03c79
allj.jar
f41077c4734ef27dec41c89223136cf8
allj64htmll
15060a4b998d8e288589d31ccd230f86
allj64.jar
e481f5ea90d684e5986e70e6338539b4
lstj.jar
21cbc17b28126b88b954b3b123958b46
lstjhtmll
acae4a875cd160c015adfdea57bd62c4
Die Java-Dateien nutzen eine Sicherheitslücke beliebt, CVE-2012-1723 , In verschiedenen Konfigurationen.
Die Nutzlast von diesen Java-Exploits gesunken ist die folgende:


Seite 9
MD5: d7ca9cf72753df7392bfeea834bcf992
Die Java-Exploit verwenden eine spezielle Loader, um die endgültige epischen Hintertür Nutzlast in injizieren versucht
explorer.exe. Die von der Java-Exploits extrahiert Hintertür hat die folgende C & C hartcodiert
innen:
www.arshinmalalan [.] com / themes / v6 / templates / css / in.php
Das C & C ist immer noch online im Moment, obwohl es leitet auf eine Seite bei derzeit ausgesetzt
"Hxxp: [.] //busandcoachdirectory.com Au". Für eine vollständige Liste der C & C-Servern finden Sie in der
Anhang.


Die epische Turla Angreifer sind extrem dynamisch mit Exploits oder verschiedene Methoden je
auf das, was ist im Moment. Zuletzt, sie beobachteten wir mit noch einer anderen Technik
gekoppelt mit Wasserloch Attacken. Dies nutzt Social Engineering, um den Benutzer zu betrügen
in Ausführung eines gefälschten Flash Player (MD5: 030f5fdb78bfc1ce7b459d3cc2cf1877):
In mindestens einem Fall, versuchten sie, den Benutzer in das Herunterladen und Ausführen eines gefälschten Microsoft Trick
Security Essentials App (MD5: 89b0f1a3a667e5cd43f5670e12dba411):


Seite 10
Die gefälschte Anwendung wird durch ein gültiges digitales Zertifikat von Sysprint AG unterzeichnet:
00 c0 a3 9e 33 EG 8b ea 47 72 de 4b dc b7 49 bb 95
24 21 58 64 28 97 f1 2b 26 22 17 62 82 ee 2d 46 07 99 ca 46


Gültige Signatur von Sysprint AG Epic Tropf
Diese Datei wurde aus dem Ministerium für Auswärtige Angelegenheiten der tadschikischen Website verteilt,
"Hxxp: [.] // Mfa tj / upload / security.php".
Die Datei ist eine NET-Anwendung, die ein verschlüsseltes Ressource enthält. Dies lässt den schädliche Dateien
mit der MD5 7731d42b043865559258464fe1c98513.


Seite 11
Dies ist eine epische Hintertür, die der folgenden C & Cs verbindet, mit einer generischen interne ID
1156fd22-3443-4344-c4ffff:
hxxp: [.] // homaxcompany com / components / com_sitemap /
hxxp: [.] //www.hadilotfi com / wp-content / themes / profile /
Eine vollständige Liste mit allen C & C-Server-URLs, die wir aus den Proben gewonnen wurde, kann in der gefunden werden
technischen Anhang.
Die Epic-Command-and-Control-Infrastruktur
Die epische Hintertüren werden durch ein riesiges Netzwerk von Servern gehackt geboten, dass
liefern Kommando und Kontrolle Funktionalität.
Das riesige Netzwerk von den epischen Turla Angreifer geboten dient mehreren Zwecken. Für
So funktionieren die Mutterschiffe als Ausbeutung beiden Standorten und Führungsplatten für
die Malware.
Hier ist, wie das große Bild sieht so aus:




Seite 12
Epischen Turla Lebenszyklus
Die erste Ebene der Steuerung und Kontrolle Proxys in der Regel sprechen auf ein zweites Niveau von Vollmachten, die in
drehen, sprechen Sie mit dem "Mutterschiff"-Server. Das Mutterschiff ist im Allgemeinen ein Server VPS, das der läuft
Control Panel-Software verwendet werden, um mit den Opfern zu interagieren. Die Angreifer bedienen das Mutter
mit einem Netz von Proxies und VPN-Server für Anonymität Gründen. Das Mutterschiff auch als arbeiten
die Ausbeutung Server in den Wasserloch Angriffe verwendet wird, liefert Java, IE oder gefälschte Anwendungen
zum Opfer.
Wir waren in der Lage, eine Kopie von einem der Mutterschiffe, die einen Einblick in die vorgesehenen bekommen
Betrieb.
Es läuft ein Bedienfeld, das Passwort geschützt ist:


Seite 13
Epischen Mutter Bedienfeld Login
Einmal in der Systemsteuerung angemeldet sind, können die Angreifer einen allgemeinen Überblick über das System zu sehen
einschließlich der Anzahl der interessante potenzielle Ziele:


Epischen Bedienfeld Statusübersicht
Eine sehr interessante Datei auf den Servern ist task.css, wo die Angreifer die IP-Bereiche definieren sie
interessiert sind. Um die Datei zu ändern, sie verwenden die "Task-Editor" aus dem Menü. Abhängig
auf den "Aufgaben", werden sie entscheiden, ob die Besucher zu infizieren oder nicht. In diesem Fall haben wir sie
gezielte zwei Bereiche zu gehören:

"Land A" - Bundesregierung Netzwerk

"Land B" - der Regierung Telekommunikation und Informatik Services Network
Es sollte jedoch darauf hingewiesen werden, die Tatsache, dass die Angreifer diese Bereiche gezielt nicht
unbedingt bedeuten, dass sie auch infiziert wurde. Einige andere unbekannte IPs wurden auch die beobachtete
Zielpläne.
Es gibt auch eine Datei "except.css", wo die Gründe Angreifer loggen sie nicht versuchen, nutzen bestimmte
Besucher. Es gibt drei mögliche Werte:


Seite 14

TRY

VERSUCHEN SIE NICHT -> Version des Browsers und Betriebssystem nicht die Voraussetzungen erfüllen

VERSUCHEN SIE NICHT -> (2012-09-19 10.02.04) - checktime
Dies sind die in den Protokollen beobachtet "die Bedingungen nicht erfüllen" Gründen:

Windows 7 oder 2008 R2

MSIE 8.0

Mozilla / 4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident / 4.0; SLCC2; NET CLR
2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; NET CLR 1.1.4322; .NET4.0C;
.NET4.0E)

Adobe Shockwave 11.5.1.601

Adobe Flash 10.3.181.14

Adobe Reader 10.1.0.0

Win Media Player 12.0.7601.17514

Quick Time null

MS Word null

Java null
Die Epic / Tavdig / Wipbot Hintertür
Für diese erste Phase des Angriffs, verwendet die Bedrohung Schauspieler eine benutzerdefinierte Hintertür. In einigen Fällen kann die
Hintertür wird zusammen mit der CVE-2013-5065 EoP verpackt nutzen und stark verschleiert. Dies
ist die Analyse schwieriger.
Der CVE-2013-5065 nutzen können, die Hintertür zu Administratorrechte auf dem zu erzielen
System und uneingeschränkt ausführen. Dieser Exploit funktioniert nur auf ungepatchte Microsoft Windows XP
Systemen.
Andere bekannte Namen für die Erkennung Backdoor ist Trojan.Wipbot (Symantec) oder Tavdig.
Der Haupthintertür ist etwa 60 KB groß und implementiert eine C & C-Protokoll zusätzlich zur normalen HTTP
Anfragen. Die Kommunikationsprotokoll verwendet
Anfragen in den C & C-Antworten, die in
die Malware entschlüsselt und Prozesse. Die Antworten werden an den C & C durch die gleiche gesendet
Kanal.
Das Malware-Verhalten wird durch eine Konfigurationsblock definiert. Der Konfigurationsblock in der Regel
enthält zwei hartcodierte C & C-URLs. Er habe auch einen Fall gesehen, wo die Konfigurationsblock
enthält nur eine URL. Die Konfiguration kann auch im laufenden Betrieb von den Angreifern aktualisiert werden, über die
C & C.
Die Hintertür versucht, die folgenden Prozesse zu identifizieren und, wenn gefunden, wird es sich selbst zu beenden:

tcpdump.exe

windump.exe

ethereal.exe

wireshark.exe

ettercap.exe

snoop.exe

dsniff.exe
Es enthält eine interne eindeutige ID, die verwendet wird, um die Opfer der C & C identifizieren. Die meisten Proben,
vor allem die alten, haben die ID-1156fd22-3443-4344 c4ffff. Sobald ein Opfer als bestätigt


Seite 15
"Interessant", die Angreifer laden andere epische Hintertür, die eine eindeutige ID zur Steuerung hat
Diese spezifische Opfer.
Während der ersten C & C-Aufruf sendet der Hintertür eine Packung mit Systeminformationen des Opfers. Alle
Weitere Informationen zum C & C gesendet wird mit einem öffentlichen Schlüssel verschlüsselt Rahmen, so dass die Entschlüsselung
unmöglich. Die Befehle von der C & C sind in einer einfacheren Art und Weise verschlüsselt werden kann
entschlüsselt, wenn abgefangen, weil der geheime Schlüssel in der Malware-hartcodiert.
Durch Überwachung, waren wir in der Lage, eine große Menge von Befehlen für die Opfer gesendet von Capture
die Angreifer und bietet einen einzigartigen Einblick in diesen Vorgang. Hier ist ein Blick auf eine der verschlüsselten
Server Antworten:


Sobald ein Opfer infiziert ist und "Kontrollen" mit dem Server, die Angreifer zu senden eine Vorlage von
Befehle:


Seite 16
Als nächstes versuchen die Angreifer, um durch das Netz des Opfers mit vordefinierten oder gesammelt bewegen
Passwörter:


Auflistung aller DOC-Dateien rekursiv ist auch ein gemeinsames "Thema":


Insgesamt haben wir mehrere Hunderte dieser Befehl Pakete für die Opfer geliefert decodiert,
Bereitstellung einer einzigartigen Einblick in das Innenleben der Angreifer.
Neben den generischen Suchanfragen, haben einige sehr spezifische Suchvorgänge wurden ebenfalls beobachtet. Diese
schließen Suchen:

* NATO * .msg

EU-Energiedialog *. *

EU * .msg

Budapest * .msg


Seite 17
In diesem Fall waren die Angreifer interessiert, um E-Mails zu "NATO" Es finden "Energiedialog
innerhalb der europäischen Union "und so weiter.
Für einige der C & C-Servern, die Angreifer implementiert RSA-Verschlüsselung für die C & C-Protokolle, die
macht es unmöglich, sie zu entschlüsseln. Diese Regelung wurde im April 2014 eingerichtet.


Seitliche Bewegung und ein Upgrade auf mehr
anspruchsvolle Hintertüren
Sobald ein Opfer beeinträchtigt wird, die Angreifer laden mehrere Tools, die für die seitliche verwendet werden
Bewegung.
Eine solche in den Angriffen beobachtet und als "C gespeichert Werkzeug: \ Dokumente und Einstellungen \ All
Users \ Startmenü \ Programme \ Autostart \ winsvclg.exe "ist:

Name: winsvclg.exe
MD5: a3cbf6179d437909eb532b7319b3dafe
Compiled: Tue Oct 02 13:51:50 2012


Name: winsvclg.exe

Name: winrs.exe
MD5: 1369fee289fe7798a02cde100a5e91d8


MD5: a3cbf6179d437909eb532b7319b3dafe
Zusammengestellt: Di 2. Oktober 2012 13.51.50
Dies ist ein Keylogger-Tool, das% temp% \ DFD3O8.tmp schafft. Hinweis: Die Dateinamen ändern
über Opfer. Auf der einen zentralasiatischen Regierung Außenministerium Opfer-System, die
Dateiname verwendet wurde, war "adobe32updt.exe".
Neben diesen kundenspezifischen Werkzeuge, beobachteten wir die Nutzung von Standard-Verwaltungsprogramme. Für
So ist ein weiteres Tool, oft von den Angreifern, dem Rechner des Opfers hochgeladen "winrs.exe":
Name: winrs.exe
MD5: 1369fee289fe7798a02cde100a5e91d8


Seite 18
Dies ist ein UPX komprimiert binär, was der echte "dnsquery.exe"-Tool von Microsoft enthält,
ausgepackt MD5: c0c03b71684eb0545ef9182f5f9928ca.

Size: 275,968 bytes
MD5: e9580b6b13822090db018c320e80865f
Compiled: Thu Nov 08 11:05:35 2012


In mehreren Fällen hat ein interessantes Update beobachtet worden - eine Malware von einem anderen, noch
verwandten Familie.
Größe: 275.968 Bytes
MD5: e9580b6b13822090db018c320e80865f
Zusammengestellt: Do 8. November 2012 11.05.35
Ein weiteres Beispiel:

Size: 218,112 bytes
MD5: 071d3b60ebec2095165b6879e41211f2
Compiled: Thu Nov 08 11:04:39 2012


Größe: 218.112 Bytes
MD5: 071d3b60ebec2095165b6879e41211f2
Zusammengestellt: Do 8. November 2012 11.04.39
Diese Hintertür ist anspruchsvoller und gehört auf die nächste Stufe von Cyber-Spionage-Tools genannt
"Carbon-System" oder Cobra von den Turla Angreifer. Mehrere Plugins für den "Carbon-System" sind
nicht bekannt.


Decoded Konfiguration für e9580b6b13822090db018c320e80865f
Hinweis: [.] Den Befehl und Kontrollserver www.losguayaberos com und
thebesttothbrushes [.] com wurden von Kaspersky Lab sinkholed worden.
Andere Pakete mit den Opfern geliefert sind:

MD5: c7617251d523f3bc4189d53df1985ca9
MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1


MD5: c7617251d523f3bc4189d53df1985ca9
MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1
Diese Top-Level-Pakete bereitzustellen beide aktualisiert Epische Backdoors und Turla Carbon-System
Backdoors bestätigt Opfer, effektiv verbindet die epische und Turla Carbon-Operationen zusammen.
Die Carbon-Dropper Turla aus diesen Paketen hat die folgenden Eigenschaften:

MD5: cb1b68d9971c2353c2d6a8119c49b51f


MD5: cb1b68d9971c2353c2d6a8119c49b51f
Das wird intern von den Autoren "Carbon-System" genannt, Teil des Projekts "Cobra", wie es sein kann
gesehen von der Debug-Pfad im Inneren:


Seite 19
Dies dient als Tropf für folgende Module 32 und 64 Bit:

MD5

Resource number

4c1017de62ea4788c7c8058a8f825a2d

101

43e896ede6fe025ee90f7f27c6d376a4

102

e6d1dcc6c2601e592f2b03f35b06fa8f

104

554450c1ecb925693fedbb9e56702646

105

df230db9bddf200b24d8744ad84d80e8

161

91a5594343b47462ebd6266a9c40abbe

162

244505129d96be57134cb00f27d4359c

164

4ae7e6011b550372d2a73ab3b4d67096

165


MD5
Ressourcennummer
4c1017de62ea4788c7c8058a8f825a2d
101
43e896ede6fe025ee90f7f27c6d376a4
102
e6d1dcc6c2601e592f2b03f35b06fa8f
104
554450c1ecb925693fedbb9e56702646
105
df230db9bddf200b24d8744ad84d80e8
161
91a5594343b47462ebd6266a9c40abbe
162
244505129d96be57134cb00f27d4359c
164
4ae7e6011b550372d2a73ab3b4d67096
165
Der Carbon-System ist im Wesentlichen eine erweiterbare Plattform, sehr ähnlich zu anderen Plattformen Angriff
wie die Tilded Plattform oder die Flamme-Plattform . Die Plugins für die Carbon-System sein kann
leicht zu erkennen, wie sie immer sind mit mindestens zwei Exporte benannt:

ModuleStart

ModuleStop


Kohlenstoff-System-Plugin mit charakteristischen Exporte
Mehrere epischen Hintertüren, um so konzipiert, dass als Kohlenstoff-System-Plugins arbeiten als auch zu haben scheinen
- Sie benötigen eine spezielle Lade zum Opfer Systeme, die nicht über die Carbon-System starten in
Einsatz.
Einige Module haben Artefakte, die die Carbon-System ist bereits in der Version 3.x zeigen,
Obwohl die genaue Carbon-System-Version ist sehr selten in den Proben gesehen:


Seite 20
Der Autor des Carbon-Modul kann auch über den Code zu erkennen ist, als "gilg", die auch
verfasste mehrere andere Turla Modulen.
Wir planen, die Turla Carbon-System mit mehr Details in einem künftigen Bericht zu decken.


Seite 21
Sprache Artefakte
Die Nutzlast von einer der Mutter Servern gewonnen (bei
newsforum.servehttp com / wordpress / wp-includes / css / img / upload.php, MD5 [.]:
4dc22c1695d1f275c3b6e503a1b171f5, Zusammengestellt: Do 6. September 14.09.55 2012) enthält zwei
Module, ein Lader / Injektor und eine Hintertür. Intern wird die Hintertür mit dem Namen "Zagruzchik.dll":


Das Wort "Zagruzchik" bedeutet "Bootloader" auf Russisch.
Das Bedienfeld für die epische Muttersprache setzt auch die Codepage "1251":


Codepage 1251 wird häufig verwendet, um kyrillische Zeichen zu machen.
Es gibt andere Hinweise darauf, dass die Angreifer nicht Englisch als Muttersprache sprechen:

Kennwort seine falsch!

Graf erfolgreich mehr MAX

Die Datei ist nicht vorhanden

Datei existiert bearbeiten


Seite 22
Die Probe wurde e9580b6b13822090db018c320e80865f, dass mehrere Opfer als Epos geliefert
eine verbesserte Hintertür, hat die Zusammenstellung Codepage Sprache "LANG_RUSSIAN" gesetzt.


Die Bedrohung Schauspieler hinter dem "Epos" Operation verwendet hauptsächlich gehackten Servern auf ihre Vertreter zu hosten.
Die Server gehackt werden durch den Einsatz eines PHP-Webshell gesteuert. Diese Hülle ist passwort
geschützt; das Passwort gegen ein MD5-Hash überprüft:


Die MD5 "af3e8be26c63c4dd066935629cf9bac8" wurde von Kaspersky Lab als die gelöst
Passwort "Kenpachi". In Februar 2014 beobachteten wir die Miniduke Bedrohung Schauspieler mit dem gleichen
Hintertür auf ihren Servern gehackt, wenn auch mit einem viel stärkeren Passwort.
Wiederum ist es auch interessant, in dem Webshell, weisen auf die Verwendung von Codepage 1251 die
wird verwendet, um kyrillische Zeichen zu machen.
Es scheint mehrere Verbindungen zwischen Turla und Miniduke sein, aber wir tun das für eine Zukunft verlassen
Blogpost.
Opfer-Statistiken


Seite 23
Auf einige der in der epischen Angriffe verwendet C & C-Server, wir waren in der Lage, detaillierte Opfer identifizieren
Statistiken, die für die Fehlersuche von den Angreifern gespeichert wurden.
Dies ist das Land für den Vertrieb der Top-20-Ländern, die von den betroffenen IP-Opfers:


Laut der Information der Öffentlichkeit für die Opfer 'IPs zur Verfügung, Ziele von "Epos" gehören zu den
folgenden Kategorien:


Seite 24

Regierung
o
Ministerium des Innern (EU-Land)
o
Ministerium für Handel und Gewerbe (EU-Land)
o
Ministerium für Auswärtige / äußeren Angelegenheiten (asiatische Land, EU-Land)
o
Intelligenz (Middle East, EU-Land)

Botschaften

Militär (EU-Land)

Bildung

Forschung (Middle East)

Pharmaunternehmen

Unbekannt (unmöglich, basierend auf IP / vorhandenen Daten zu bestimmen)
Zusammenfassung
Wenn G-Data veröffentlichten ihre Turla Papier, gab es nur wenige Details, wie öffentlich verfügbar
Opfer gehen mit dieser Malware-Kampagne infiziert. Unsere Analyse zeigt, das ist eine anspruchsvolle
Mehrstufen-Infektion; das beginnt mit Epic Turla. Diese wird verwendet, um Fuß zu fassen und zu validieren
die hochkarätige Opfer. Wenn das Opfer ist interessant, werden sie auf die Turla Carbon-System aufgewertet.
Zuletzt beobachteten wir diesen Angriff gegen eine Kaspersky-Lab-Benutzer am 5. August 2014
die den Betrieb frisch bleibt und nicht abgeschlossen.
Hinweis: Eine vollständige Analyse der EPIC-Angriffen steht den Kaspersky Intelligent Services
Kunden. Kontakt: intelreports@kaspersky.com
Wir würden gerne die folgenden am Ende des Blogpost hinzufügen, kurz vor der Nachweis Namen:
Weiterführende Literatur
Wenn Sie möchten, um mehr über Turla / Uroburos lesen, hier ein paar Empfehlungen:

G-Data Papier "Hochkomplexe Uroburos Spionage-Software mit russischen Wurzeln"

BAE Systems Analyse von "The Snake Kampagne"

"Uroburos: die Schlange Rootkit" , Die technische Analyse von deresz und Tecamac

"TR-25-Analyse - Turla / pfinet / Schlange / Uroburos" von CIRCL.LU
Kaspersky Produkte Erkennung Namen für alle in diesem Beitrag beschriebenen Malware-Samples:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR: Exploit.Java.CVE-2012-1723.gen
HEUR: Exploit.Java.CVE-2012-4681.gen
HEUR: Exploit.Java.Generic
HEUR: Exploit.Script.Generic
HEUR: Trojan.Script.Generic


Seite 25
HEUR: Trojan.Win32.Epiccosplay.gen
HEUR: Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
TrojanhtmlL.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
https://securelist.com/analysis/publications/65545/the-Epos-Turla-operation/