欢迎访问本站!

首页科技正文

阿富汗动乱后,Turla APT最先莳植新的后门

admin2021-09-2424事件

新2正网会员开户www.huangguan.us)是一个开放皇冠正网即时比分、新2正网会员开户开户的平台。新2正网会员开户平台(www.huangguan.us)提供最新皇冠登录,皇冠APP下载包含新皇冠体育代理、会员APP,提供皇冠正网代理开户、皇冠正网会员开户业务。

研究职员讲述说,Turla高级连续性威胁(APT)组织又回来了,他们使用了一个新的后门来熏染阿富汗、德国和美国的系统。研究职员说,他们已经发现了可能是Turla团体(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一个俄罗斯籍的APT组织的攻击行为。他们指出,这些攻击很可能会使用一个隐藏的second-chance后门来维持被熏染的装备的接见权限。

"second-chance "的寄义是指,它很难被祛除,纵然被熏染的机械祛除了主要的恶意软件,攻击者也能继续保持对系统的接见。

据报道,这个被称为TinyTurla的新型后门可以用来投放有用载荷,上传或执行文件。它还可以被用作第二级投放器,使用其他的恶意软件来熏染系统。同时,后门代码也相当简朴,但执行效率很高,它通常可以绕过杀毒软件。

TinyTurla是若何举行攻击的

研究职员示意,攻击者会将TinyTurla伪装成 "Windows Time Service "服务,同时用于同步运行在流动目录域服务(AD DS)中的系统的日期和时间。

TinyTurla还模拟正当的Windows时间服务,能够上传、执行或窃取文件。该后门通过HTTPS加密通道每五秒钟与一个下令和控制(C2)服务器联系,来检查新的下令。

由于TinyTurla的功效有限且编码简朴,反恶意软件工具很难检测到它是恶意软件。这也就注释了为什么只管攻击者从 2020年 就最先部署它,然则它一直没有被发现。Turla在平安行业是众所周知的,而且也受到了平安行业的亲热关注。然而,他们照样使用了这个后门举行攻击连续了两年之久,这很清晰地解释,我们在防御方面另有许多改善的余地。

然而,网络流量中的谁人每五秒钟执行一次的情形可以被一些防御系统发现,他们指出,这是一个很好的例子,这说明晰将基于网络行为的检测纳入到你的平安系统中是何等的主要。

TinyTurla软件攻击的详细方式

攻击者使用了一个.BAT文件,该文件将TinyTurla安装为一个看起来很正常的微软Windows Time服务,而且还在注册表中设置了后门使用的设置参数。


该恶意软件的DLL ServiceMain启动功效除了执行一个被称为 "main_malware "的函数外,其他的什么都没有做,而且该函数包罗了后门代码。他们以为这个动态链接库(DLL)相当简朴,它仅由几个函数和两个 "while "循环组成。

新2最新网址www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

研究职员指出,虽然Turla经常使用庞大的恶意软件,但该组织也会使用像这样的很简朴的恶意软件来掩人线人。

不外,APT行为者的攻击并不完善,在防检测方面也犯过许多错误。例如,Talos已经监测到了许多Turla的攻击行动,在他们的流动中,他们会经常重复使用被攻击的服务器举行操作,他们一样平常会通过SSH接见,而且还由Tor珍爱。因此以为这个后门是Turla组织的一个缘故原由是,他们使用的基础设施与他们用于其他攻击的基础设施相同,这些攻击被溯源来自于他们的Turla基础设施。

谁是Turla?

凭证卡巴斯基的研究,Turla APT可以追溯到2004年或更早。今年1月,该公司示意,Turla恶意软件可能会被用于SolarWinds攻击,由于卡巴斯基研究职员发现,在那一系列供应链攻击中使用的Sunburst后门与Turla的Kazuar后门的代码存在相似性。

那时,卡巴斯基将Turla以为 "这是一个庞大的网络攻击平台,主要集中在外交和 *** 相关的目的上,稀奇是在中东、中亚和远东亚洲、欧洲、北美和南美以及前苏联团体国家。"

APT组织已经开发了一个伟大的武器库来使自己的攻击性更强。除了可能与SolarWinds中使用的Sunburst后门有关,Turla还与Crutch等着名恶意软件有关。该软件在去年12月针对欧友邦家的特工攻击中使用了Dropbox。此外,还与Kazuar后门有关,Palo Alto Networks在2017年将其形貌为一个具有API接见功效的多平台特工后门。

研究职员指出,对俄罗斯攻击者的监测、手艺证据的采集、以及战术、手艺和程序(TTPs)的研究都有助于在这个最新的案例中追溯到Turla。

用于针对阿富汗 *** 举行攻击

思科的Talos首次发现了TinyTurla后门,那时它在 *** 政变和西方军事气力撤出的准备阶段最先针对阿富汗 *** 举行攻击。

治理员通常很难核实所有的正在运行的服务都是正当的,它需要举行网络监控,提醒平安团队注重这些熏染。同时,最主要的是要有检测运行未知服务的软件或自动系统,以及一支能够对可能受熏染的系统举行适当取证剖析的专业职员队伍。

研究职员最后敦促各个组织接纳多条理的平安架构来检测这类攻击,攻击者想法绕过一个或两个平安措施并非不能能,但他们要绕过所有的这些措施那就难多了。

他们预计Turla攻击流动可能会在可预见的未来继续举行下去。

本文翻译自:https://threatpost.com/turla-apt-backdoor-afghanistan/174858/

欧博APP下载www.aLLbetgame.us)是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

网友评论