Satellite Turla: APT Command and Control in the Sky
神刀发表于 2015-09-14 20:05:00
左懒2015/09/14 14:00 你有看过卫星电视吗?对里面丰富的电视频道和广播电台是否感到非常惊讶?你有没有想过了解卫星电话或卫星网络(satellite-based Internet connections)是如何运作的?如果我告诉你,除了娱乐,交通和天气外卫星Internet还有更多的使用方法。更多,更多的… Turla: Hiding Traces High in the Skies 如果你是APT团队的成员,你需要处理各种不同的问题。其中之一,也可能是最大的一个任务就是不断地入侵服务器作为C&C(command-and-control)。这些服务器通常被执法部门移除或被ISP关闭掉。有时候会被利用来跟踪攻击者的物理位置。 一些高级的攻击者和商业黑客工具使用用户找到了一个更好的解决方案–使用基于卫星Internet链路(satellite-based Internet links)。在过去,我们已经看到三个不同的攻击者使用这些链路隐藏他们的业务。最特殊有趣的是Turla团队。 它们也称之为Snake或者Uroburos,其名称来自于最顶级的rootkit。Turla网络间谍团队已经活跃了8年之久。虽然已经有几篇发表的论文阐述关于该团队运作,但直到卡巴斯基实验发表Epic Turla的研究报告才提供了其有关的特殊资料,如第一阶段的watering hole感染攻击。 Turla团队之所以特殊不仅是他的工具复杂,包括Uroboros rootkit(又称为Snake),以及通过内部LAN的多级代理网络绕过网闸的机制,但这次攻击的后期阶段使用的是基于卫星的C&C机制。 在这篇博客中,我们希望清楚地阐明基于卫星C&C机制的APT组织,包括Turla/Snake组织,被他们所控制的重要受害者。当这些机制变得越来越流行时,系统管理员部署正确的防御策略来减轻这种攻击尤为重要。详情请查看附录。 0x01 技术细节 虽然比较少见,但自2007年以来,几个顶尖的APT团队一直在使用/滥用卫星链路来管理他们的业务。大多数情况下使用的是C&C基础设施,Turla就是其中之一。使用这个方法有一些优点,如很难分辩出攻击的背后运营商,但它同时也给攻击者带来一些风险。 一方面,C&C服务器的真实位置不容易被发现。基于卫星网络的接收器可以位于任何卫星覆盖区,而这个区域通常是非常大的。Turla团队使用这个方法劫持下游连接是高度匿名的,而且还不需要交卫星网络费用。 另一方面,基于卫星网络有速度慢、不稳定等缺点。 开始的时候,我们和其它研究人员都不清楚观察到的那些链接是否都是攻击者购买的卫星商业网络,或者攻击者违反了ISP,使用路由层MitM(Man in the Middle)攻击劫持流量。现在我们已经分析了这些机制,并得出了惊人的结论,Turla团队使用的方法非常简单明了,而且高度匿名,操作简单,管理方便。 0x02 使用真正的卫星链路,MitM攻击或BGP劫持? 购买卫星Internet链路是APT团队确保C&C业务运转的选择之一。然而,全双工的卫星链路是非常昂贵的:一个简单的双工为1Mbit up/down卫星链路的费用可能高达每星期7000美刀。对于较长期的合同,这笔费用可能会大幅度降低,但带宽仍然非常昂贵。 另一种获得卫星IP范围内的C&C服务器方法是在卫星运营商和受害者注入沿途包劫持流量。这需要利用到卫星提供商本身或者途径的其它IPS。 这种类型的劫持攻击在2013年已经被Renesys的博客记录了下来。 据Renesys说:“各个提供商的BGP路由被劫持,其结果是他们部分网络流量被误导流经白俄罗斯和冰岛的ISP。我们有BGP路由数据记录了2013年2月21日和5月份俄罗斯事件和2013年七月到八月份冰岛事件的演进过程。” 在2015年博客文章中,Dyn研究人员指出:“安全分析人员检查警报日志的时候要意识到发生事件的IP地址来源通常是可以伪造的。例如,来自New Jersey的Comcast IP地址的攻击,其攻击者可能正位于Eastern Europe,只是简单征用一下Comcast IP地址。有趣的是,上面讨论的六个样例均来自Europe或Russia。” 显然,这种极其明显和大规模的攻击几乎无法幸存太长时间,而这是运行APT的关键要求之一。因此,通过MitM劫持流量不是一个可行的方案,除非攻击者直接控制一些诸如骨干路由器和光纤高流量的网络点。有迹象表明,这种攻击越来越普遍,但有一个更简单的方法–劫持卫星网络。 0x03 劫持卫星链路(DVB-S) S21Sec的研究人员Leonardo Nve Egea在过去已经介绍了几次卫星DVB-S链路劫持,详情查看:hijacking satellite DVB links was delivered at […]
