你有看過衛星電視嗎?對里面豐富的電視頻道和廣播電臺是否感到非常驚訝?你有沒有想過了解衛星電話或衛星網絡(satellite-based Internet connections)是如何運作的?如果我告訴你,除了娛樂,交通和天氣外衛星Internet還有更多的使用方法。更多,更多的...
Turla: Hiding Traces High in the Skies
如果你是APT團隊的成員,那么你每天都需要處理各種不同的問題。其中一個,也可能是最大的任務就是不斷地入侵服務器作為自己的C&C(command-and-control)。這些已經被入侵的服務器通常被相關執法部門移除或被IPS關閉掉。有時候會被利用來跟蹤攻擊者的物理位置。
一些高級的攻擊者和商業黑客工具用戶找到了一個更好的解決方案--使用基于衛星Internet鏈路(satellite-based Internet links)。在過去,我們已經看到三個不同的攻擊者使用這些鏈路隱藏他們的業務。最特殊有趣的是Turla團隊。
Turla也稱之為Snake或者Uroburos,其名稱來自于最高級的rootkit。Turla網絡間諜團隊已經活躍了8年之久。雖然已經有幾篇發表的論文闡述關于該團隊運作,但直到卡巴斯基實驗發表Epic Turla的研究報告才提供了它們一些比較特殊資料,如第一階段的watering hole感染攻擊。
Turla團隊之所以特殊不僅是他的工具復雜,包括Uroboros rootkit(又稱為Snake),以及通過內部LAN的多級代理網絡繞過網閘的機制,但這次攻擊的后期階段使用的是基于衛星的C&C機制。
在這篇博客中,我們希望清楚地闡明基于衛星C&C機制的APT組織,包括Turla/Snake組織,被他們所控制的重要受害者。當這些機制變得越來越流行的時候,系統管理員部署正確的防御策略來減輕這種攻擊尤為重要。具體詳情請查看附錄。
雖然比較罕見,但自2007年以來,幾個頂尖的APT團隊一直在使用衛星鏈路來管理他們的業務。大多數情況下使用的是C&C基礎設施,Turla就是其中之一。使用這個方法有一些優點,比如很難分辯出發起攻擊的背后運營商,但它同時也給攻擊者帶來一些風險。
一方面,C&C服務器的真實位置不容易被發現。基于衛星Internet的接收器可以位于任何衛星覆蓋區,而這個區域通常是非常大的。Turla團隊使用這個方法劫持下游鏈路不僅高度匿名,而且還不需要交衛星網絡費用。
另一方面,衛星Internet有速度慢,不穩定等缺點。
開始的時候,我們和其它研究人員都不清楚觀察到的那些鏈路是否都是攻擊者購買的衛星商業網絡,或者攻擊者違反了ISP使用路由層MitM(Man in the Middle)攻擊劫持流量。現在我們已經分析了這些機制,并得出了驚人的結論,Turla團隊使用的方法非常簡單明了,而且高度匿名,操作簡單,管理方便。
購買衛星Internet鏈路是APT團隊確保C&C業務運轉的選擇之一。然而,全雙工的衛星鏈路是非常昂貴的:一個簡單的雙工為1Mbit up/down衛星鏈路的費用可能高達每星期7000美刀。對于較長期的合同,這筆費用可能會大幅度降低,但帶寬仍然非常昂貴。
另一種獲得衛星IP范圍內的C&C服務器方法是在衛星運營商和受害者注入沿途包劫持流量。這需要衛星提供商本身或者途徑的其它ISP的協助。
這種類型的劫持攻擊在2013年已經被Renesys的博客記錄了下來。
據Renesys說:“各個提供商的BGP路由被劫持,其結果是他們部分網絡流量被誤導流經白俄羅斯和冰島的ISP。我們有BGP路由數據記錄了2013年2月21日和5月份俄羅斯事件和2013年七月到八月份冰島事件的演進過程。”
在2015年博客文章中,Dyn研究人員指出:“安全分析人員檢查警報日志的時候要意識到發生事件的IP地址來源通常是可以偽造的。例如,來自New Jersey的Comcast IP地址的攻擊,其攻擊者可能正位于Eastern Europe,只是簡單征用一下Comcast IP地址。有趣的是,上面討論的六個樣例均來自Europe或Russia。”
顯然,這種極其明顯和大規模的攻擊幾乎無法幸存太長時間,而這是運行APT的關鍵要求之一。因此,通過MitM劫持流量不是一個可行的方案,除非攻擊者直接控制一些諸如骨干路由器和光纖高流量的網絡點。有跡象表明,這種攻擊越來越普遍,但有一個更簡單的方法--劫持衛星網絡。
S21Sec的研究人員Leonardo Nve Egea在過去已經介紹了幾次衛星DVB-S鏈路劫持,詳情查看:hijacking satellite DVB links was delivered at BlackHat 2010。
劫持衛星DVB-S鏈路,需要執行以下操作:
衛星盤和LNB最少要符合標準。TBS卡可能是最重要的組件。目前最好的DVB-S卡是TBS Technologies生產的。TBS-6922SE也許是最好的入門級卡。
TBS-6922SE PCIe card for receiving DVB-S channels 
上面所述的TBS卡特別適合這項任務,因為它有專門的Linux內核驅動并提供一個暴力掃描函數,允許測試寬頻范圍的信號。當然,使用其它PCI或PCIe卡可能也沒問題。但是基于USB的卡相對較差,應該避免使用他們。
不同于雙全工衛星網絡,Internet的downstream-only鏈路是用于加速Internet下載速度,它非常便宜而且容易部署。而且它們本身也是不安全的,流量沒有經過加密處理。這創造了被利用的可能性。
公司提供Internet downstream-only訪問權限傳送點跟衛星來往。衛星廣播流量較大的在地面上,Ku波段(12-18Ghz)則通過某些IP類傳送點路由。
為了攻擊基于衛星的Internet,這些鏈路的合法用戶以及攻擊者自己的衛星盤需要指向特定衛星廣播流量,攻擊者利用這些未加密的數據包,確定通過衛星的下行鏈路路由的IP地址,然后監聽這個來自Internet的IP地址的數據包,一旦接收到TCP/IP的SYN包,他們就可以偽造一個TCP的SYN ACK應答包重新建立Internet鏈路。
同時,鏈路的合法用戶只是忽略所述的包,因為它流向沒有開放的端口,例如80或10080端口。這里有個值得觀察的地方:通常情況下,如果一個數據包到達一個未開放的端口,會返回一個RST或FIN包到源地址表示這里并不期待有數據包過來。然而對于慢速鏈路來說,防火墻通常是簡單地丟棄了那些發送到未開放端口的數據包。這將創造一個濫用的機會。
在分析過程中,我們觀察到Turla團隊利用幾個衛星DVB-S Internet提供商,其中大部分是提供中東和非洲地區的downstream-only鏈路。有趣的是,覆蓋地區并不包括歐洲和非洲。這意味著在中東或非洲需要一個衛星盤。另外,一個更大的衛星盤(3米+)可于增強其它地區信號。
為了計算衛星盤的大小,可以使用各種工具,包括諸如satbeams.com的在線工具:
Sample dish calculation – (c) www.satbeams.com 
下表顯示了Turla攻擊者用域名解析器獲得的衛星Internet服務提供商那些與C&C服務器相關的IP地址。
Note: 84.11.79.6 is hardcoded in the configuration block of the malicious sample. 
下面是所觀察到的衛星IP地址相關信息:
84.11.79.6這個IP比較有趣,它屬于IABG mbH的衛星IP范圍。
這個C&C服務器IP地址是加密的,Turla團隊在一個Agent.DNE后門中使用到:
Agent.DNE C&C configuration 
這個Agent.DNE樣本中的編譯時間戳是2007年11月22日14點34分15秒星期四。說明Turla團隊已使用了近八年的衛星Internet鏈路。
這些鏈路通常都高達數個月,但從來不會太久。具體多久無法確定,因為有可能是服務器自身的業務安全限定或者是其它方由于要進行其它惡意行為而關閉。
實現這些Internet鏈路的技術方法依賴于劫持各個ISP的下行帶寬。這是一種在技術上比較容易實現的方法。并可能提供比任何其它常規租用的VPS和黑客合法的服務器更高程度的匿名性。
要實現這種攻擊方法,初期投資少于1000美刀。一年的定期維護費少于1000美刀。考慮到該方法簡單又便宜,但令人驚訝的是,我們還沒看到有更多的其它APT組織使用它,盡管它提供了無與倫比的匿名性。原因是它需要依賴于防彈主機(bullet-proof hosting),多級代理或肉雞網站。事實上,Turla團隊已經知道使用所有這些技術,使其成為一個非常通用的,動態的,靈活的網絡間諜活動運轉機器。
最后應該指出的是,Turla不是使用基于衛星Internet鏈路唯一的APT團隊。基于C&C的黑客團隊可以參看上面的衛星IP,里面有Xumuxu團隊和新近的Rocket kitten APT團隊。
如果此方法在APT團隊和網絡犯罪組織大量使用,這將給IT安全和counter-intelligence社區造成嚴重后果。
Turla團隊使用的基于衛星的互聯網鏈路的論文全文適用于卡巴斯基情報服務的客戶
IPs:
84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37
Hostnames:
accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org
MD5s:
0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473
卡巴斯基實驗室檢測到上述的Turla樣本:
Backdoor.Win32.Turla.cd
Backdoor.Win32.Turla.ce
Backdoor.Win32.Turla.cl
Backdoor.Win32.Turla.ch
Backdoor.Win32.Turla.cj
Backdoor.Win32.Turla.ck
Trojan.Win32.Agent.dne