Turla Outlook Backdoor使用精明的策略进行隐身和持久性活动

Turla APT集团用于其间谍活动的Outlook后门是一个为隐形和持久性而建造的不寻常的强大势力,能够在高度受限的网络中生存。

恶意软件不会连接到命令和控制服务器,并且可以通过发送到受害者电子邮件地址的PDF文件接收更新和说明。它的控制权仅取决于可以源自攻击者选择的任何地址的电子邮件交换。

来自ESET的安全研究人员分析了该实用程序的功能,并设法了解它如何在不触发警报的情况下泄露数据。

至少从2013年开始,Turla集团依靠这个后门,并从一个基本实用程序开发它,该实用程序只将电子邮件内容转储到可以在Empire PSInject开源工具包的帮助下执行PowerShell命令的工具。

在最近的重复中,后门是一个独立的DLL(动态链接库),可以自行安装并与Outlook和The Bat交互邮件客户端。它可以执行此操作,无论其在磁盘上的位置如何。

对于持久性,Turla开发人员使用COM对象劫持 - 这是一种他们非常精通的常见但有效的技术。该方法允许每次Outlook加载COM对象时加载恶意DLL。研究人员注意到,这在电子邮件客户端启动时会发生。

通过依靠合法的消息传递应用程序编程接口(MAPI)与Outlook交互并访问目标的收件箱来实现隐藏。

研究人员表示,运营商使用电子邮件传输层提供包含数据泄露命令或下载其他文件的特制PDF文档。通过生成具有攻击者所需数据的PDF(如传出电子邮件和消息元数据),以相同方式提取信息。

“从PDF文档中,后门能够恢复攻击者在日志中调用容器的行为。这是一个二进制blob,其特殊格式包含后门的加密命令,“ESET分析师在 今天发布的一份报告中解释道。

“从技术上讲,附件不一定是有效的PDF文档。唯一的要求是它包含一个正确格式的容器。“

要隐藏用户的电子邮件交换,后门会删除发送给攻击者或从攻击者收到的邮件。新的电子邮件通知可能会显示几秒钟,但邮件正文不会显示给用户,这可能会在客户端软件中作为故障传递。

虽然他们没有获得带有后门命令的PDF样本,但研究人员能够创建这样的文档。一旦发送到受恶意软件控制的Outlook收件箱,它就会识别路线并在Windows中启动计算器应用程序。

Outlook后门组件的复杂性在其加密算法中也是可见的。就像其他带有Turla签名的工具一样,后门使用了一种不太常见的算法,该算法遭受了开发人员的制裁。

它采用MISTY1对称加密,由Mitsubishi Electric于1995年创建。对于最初的实现,Turla增加了两个XOR操作,改变了密钥生成方法。它们还改组了s7和s9非线性查找表中的值,导致所有识别基于s表值的加密算法的工具中断。

由于没有命令和控制服务器可以取下,作为合法活动传递给网络安全组件的模式操作,以及对标准功能的修改,Turla的Outlook后门证明很难与之对抗。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/turla-outlook-backdoor-uses-clever-tactics-for-stealth-and-persistence/

扫码关注云+社区

领取腾讯云代金券