BlackHat议题:利用卫星接收器拓展僵尸网络

Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。

卡巴斯基实验室也是去年才发现Turla APT组织,该组织成员均说俄语,并且还发现其利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动。

FreeBuf百科:卫星通信

卫星通信主要应用在一些网络不稳定、网速过慢或者没有网络的偏远地区。其中最普遍、最便宜的卫星网络是通过所谓的仅下游(downstream-only)连接的。

用户PC端的请求会通过常规线路(有线或者GPRS连接)进行通信,且所有流入的流量均来自卫星。

如此一来,用户就可获得一个相对较快的下载速度。从安全角度来看,卫星通信的最大缺点就是返回PC端的流量是非加密的,导致任何用户均可劫持这些流量。

Turla组织利用卫星通信中固有的安全缺陷隐藏C&C服务器的位置和控制中心。我们都知道,一旦C&C服务器的位置暴露,幕后恶意操作的黑手就会很容易被发现,所以Turla组织才会努力地去隐藏C&C服务器位置。

卫星链接(DVB-S)劫持

在劫持卫星DVB-S链接之前,需要具备以下设备:

1.卫星天线(大小取决于地理位置和卫星) 2.低噪声块下变频器(LNB) 3.专用的DVB-S调制器(PCIe卡,建议使用TBS Technologies公司的TBS-6922SE) 4.电脑(最好是Linux系统的)

DVB-S调制器

执行卫星网络劫持工作

为了攻击卫星网络链接,无论是卫星链接的合法用户还是攻击者自身的卫星天线都要指向特定的用于广播流量的卫星。攻击者会滥用卫星网络流量明文传输这一缺陷,具体的方式如下:

1. 通过监听卫星中的downstream来识别卫星网络用户的IP地址; 2. 然后在用户不知情的情况下选择一个IP地址来掩盖其C&C服务器真实IP地址; 3. 被Turla感染的设备会收到一个指令:发送所有数据到被选中的IP地址上。数据先通过常规路径发送到卫星系统,然后再由卫星系统发送给选中IP地址的用户; 4. 合法用户会以垃圾的方式将这些数据丢掉,但威胁操作者会从下游卫星链接处重新收集起这些数据。

攻击范围极广,中国也在之列

因为卫星通信的覆盖范围非常广,所以很难追踪到威胁操作者的具体位置。被Turla组织利用的卫星网络大多是位于中东和非洲的国家,如刚果、黎巴嫩、利比亚、尼泊尔、索马里和阿拉伯联合酋长国。

目前为止,Turla APT组织已经成功入侵了全球45个国家近百个电脑系统。Turla攻击的国家包括哈萨克斯坦、俄罗斯、中国、越南、美国等,入侵的行业有政府机构、大使馆、军事、教育、科研、制药公司等。

* FreeBuf小编综合整理,有删减,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-09-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

警惕虚假安全软件升级威胁

如今,一种新的通过社交工程学垃圾邮件诱使用户在电脑上运行恶意软件的攻击形式正在蔓延。恶意软件开发者采取的方法多种多样,其中之一就是伪装电子邮件...

29150
来自专栏Seebug漏洞平台

警惕Cisco Smart Install漏洞并禁用相关端口

近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 startup.config 会被覆盖为“Don'...

37390
来自专栏FreeBuf

关于弱密码摄像头被入侵实验

前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 证实可行 首先,根据网上的资料,我们...

45260
来自专栏区块链

快快改密码!14亿账号密码数据库泄露

点击下方“关键字”,查看更多精彩内容 现在无论是网购还是微信登录都需要注册账户名和设置密码,而相应我们的一些个人资料、手机号甚至是银行卡账户都需要与账户进行绑定...

70690
来自专栏企鹅号快讯

如何实现敏感无线系统安全?

2014年8月,美国国土安全部(以下简称“DHS”)首席信息安全官办公室发布了DHS 4300A-Q1(敏感系统手册)文件。文件仅针对敏感无线系统的安全问题,不...

22750
来自专栏子勰随笔

关于终端设备的设备唯一性的那些事之IMEI

1.5K40
来自专栏镁客网

热点 | 英特尔自曝芯片三个漏洞,内存数据存风险

据外媒报道,英特尔在周二揭露了其部分微处理器中存在的三个漏洞,称黑客可以利用它们来获取计算机内存中的一些数据。此次漏洞事件中,受到影响的产品包括Core以及Xe...

7930
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(三)

2016年中国网络空间安全年报 1.3. 站点安全事件分析 2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除...

31960
来自专栏安恒信息

斯诺登揭开英国通讯总部“肮脏把戏”

NBC News日前又从斯诺登曝光的文件中发现了更多惊人内幕。 据了解,斯诺登提供的文件中揭露了英国通讯总部(GCHQ)怎样将目...

30060
来自专栏FreeBuf

揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述 行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早...

58270

扫码关注云+社区

领取腾讯云代金券