TinyTurla-NG 深入工具和命令与控制分析

• Cisco Talos 与CERT.NGO合作，发现了 Turla APT 使用的新恶意组件。Talos 的新发现说明了部署在我们之前披露的受感染 WordPress 服务器上的命令和控制 (C2) 脚本的内部运作方式。

• Talos 还展示了TinyTurla-NG (TTNG) 后门操作员向受感染端点发出命令的攻击后活动。我们发现向 TTNG 发出了三组不同的 PowerShell 命令，用于枚举、暂存和窃取攻击者感兴趣的文件。

• Talos 还发现使用通过初始植入 TinyTurla-NG 部署的另外三个恶意模块来维持访问、执行任意命令和窃取凭据。

• 其中一个组件是 Chisel（一种开源攻击框架）经过修改的代理/客户端，用于与单独的 C2 服务器通信以在受感染的系统上执行任意命令。

• 对此次活动中使用的 Chisel 客户端的证书分析表明，可能已经创建了另一个修改过的 Chisel 植入程序，该植入程序使用类似但不同的证书。此评估与 Turla 在此次活动中使用多个恶意软件系列变体（包括 TinyTurla-NG、TurlaPower-NG 和其他基于 PowerShell 的脚本）的情况相符。

Talos 与CERT.NGO合作，在我们之前披露的妥协中发现了 Turla APT 使用的新恶意组件。持续的调查还揭示了 C2 脚本内部运作的细节，包括处理传入请求和允许操作员远程管理受感染的 C2 服务器的 WebShell 组件。

C2服务器分析

命令和控制 (C2) 代码是基于 PHP 的脚本，有两个用途：它是 TinyTurla-NG 植入程序和 Web shell 的处理程序，Turla 操作员可以使用它在受感染的 C2 服务器上执行命令。Talos 获得的 C2 脚本是对 TinyTurla-NG (TTNG) 和 TurlaPower-NG 植入程序的补充，旨在提供可执行文件和管理命令以在受感染的系统上执行。

加载时，基于 PHP 的 C2 脚本将执行多个操作来创建用于服务 TTNG 后门的文件结构。C2脚本收到请求后，首先检查日志目录是否存在，如果不存在，则创建一个。接下来，脚本检查特定的 COOKIE ID。如果它存在并且对应于硬编码值，则 C2 脚本将充当 Web shell。

它将对 $_COOKIE（不要与身份验证 COOKIE ID 混淆）条目的值进行 Base64 解码，并将其作为命令在 C2 服务器上执行。这些命令可以使用 exec()、passthru()、system() 或 shell_exec() 函数运行。它还将检查指定的变量是否是资源并读取其内容。操作完成后，输出或资源将发送给请求者，并且 PHP 脚本将停止执行。

C2 脚本的 Web shell 功能。

如果向 C2 服务器发出的 HTTP 请求中提供了“id”，则脚本会将其视为与植入程序（例如 TTNG 或 TurlaPower-NG）的通信。“id”参数与 TTNG 和 TurlaPower-NG 植入程序在与 C2 通信期间传递的变量相同，并且也在 C2 服务器上创建日志记录目录。根据“id”附带的下一个表单值，C2 将执行以下操作：

• “ task ”：将请求者发送的内容写入“<id>/tasks.txt”文件，并在“<id>/_log.txt”中记录请求者的IP地址和时间戳。然后，该文件的内容被发送到请求者以响应“gettask”请求。攻击者使用此机制将更多任务添加到每个 C2 必须发送到其后门安装以在受感染端点上执行的任务/命令列表中。

• “ gettask ”：将“<id>/tasks.txt”文件的内容发送到受感染的系统，请求在受感染的端点上执行新命令。

• “ result ”：获取HTTP(S)表单的内容并将其记录到“<id>/result.txt”文件中。C2 使用此机制获取 TTNG 后门在受感染端点上执行的命令的输出并将其记录到磁盘上的文件中。

• “ getresult ”：从C2服务器获取“<id>/result.txt”文件的内容。攻击者使用它来获取在受感染端点上执行的命令的结果，而无需访问 C2 服务器。

• “file”+“name”：将发送到C2服务器的文件内容全部或部分保存到C2服务器上指定的文件中，该文件与HTTP表单中指定的“名称”相同。

• “ cat_file ”：读取C2服务器上请求者指定的文件内容并以内容进行响应。

• “ rm_file ”：从 C2 服务器上移除/删除请求者指定的文件。

C2 脚本的请求处理逻辑。

C2 服务器接受的 HTTP 表单值task、cat_file、rm_file以及get_result它们在 C2 服务器上的相应操作表明这些是操作装置的一部分，允许威胁行为者向 C2 服务器提供新命令并检索 C2 服务器收集的有价值的信息，从远程位置，无需登录 C2 本身。从操作上来说，这是一种对威胁行为者有利的策略，因为迄今为止发现的所有 C2 服务器都是被威胁行为者破坏的网站，而不是攻击者拥有的网站。因此，对于 Turla 的运营商来说，只需通过伪装成合法流量的 HTTPS 进行通信，而不是通过 SSH 等其他方式重新利用或访问服务器，从而增加他们在受感染的 C2 服务器上的指纹，这将是有益的。

这种策略可以形象地表示为：

使用 TinyTurla-NG 进行入侵后活动

攻击者使用 TinyTurla-NG 执行额外的侦察，以枚举受感染端点上感兴趣的文件，然后窃取这些文件。他们向 TTNG 发出了三组不同的模块化 PowerShell 命令：

侦察命令：用于枚举操作员指定目录中的文件。目录列表返回给操作员以选择可以泄露的感兴趣的文件。

PowerShell 脚本/命令枚举 C2 指定的四个位置中的文件并将结果发送回它。

• 复制文件命令：向受感染系统发出 Base64 编码的命令/脚本，将感兴趣的文件从原始位置复制到临时目录，通常是：C:windowstemp

PowerShell 脚本将文件复制到中间位置。

• 渗透 命令/脚本又名 TurlaPower-NG：这些脚本用于最终将选定的文件渗透到 C2 服务器。

枚举、复制和渗透任务期间使用的脚本包含 Turla 感兴趣的文件和文件夹的硬编码路径。这些位置由波兰非政府组织使用和维护进行日常运作的文件和文件组成。攻击者还使用这些脚本来窃取 Firefox 配置文件数据，这强化了我们对 Turla 试图收集凭证以及数据泄露的评估。

虽然 Tinyturla-NG 本身足以使用上述脚本组合在受感染的系统上执行各种未经授权的操作，但攻击者选择部署另外三种工具来帮助其恶意操作：

• Chisel：Chisel 客户端/代理的修改副本。

• 凭据收集脚本：基于 PowerShell 的脚本，用于收集 Google Chrome 或 Microsoft Edge 保存的登录数据。

• 用于以提升的权限执行命令的工具：一种二进制文件，用于在执行父进程指定的任意命令时模拟指定进程的权限级别。

部署 TTNG 后的总体感染活动如下所示：

使用 Chisel 作为持久访问的另一种方式

Talos 的调查发现，除了基于 PowerShell 的文件提取器 TurlaPower-NG 之外，攻击者还在受感染的系统上部署了另一个植入程序。它是基于 GoLang 的开源隧道工具Chisel的修改副本，存储在以下位置：C:WindowsSystem32TrustedWorker[.]exe

修改后的 Chisel 恶意软件采用 UPX 压缩，这在 Go 二进制文件中很常见，并且包含 C2 URL、端口和通信证书以及嵌入恶意软件样本中的私钥。一旦解密这些工件，它就会使用以下配置继续创建到 C2 的反向 SOCKS 代理连接：R:5000:socks

在代理中：

• “R”：代表远程端口转发。

• “5000”：这是攻击者计算机上接收来自受感染系统的连接的端口。

• “socks”：指定 SOCKS 协议的使用。 

• （Chisel 中袜子远程的默认本地主机和端口是 127[.]0[.]0[.]1:1080。）

凿子样本联系的C2服务器是：91[.]193[.]18[.]120:443。

TLS 配置由客户端 TLS 证书和密钥对组成。该证书的有效期为2023年12月7日至2024年12月16日。该有效期与Talos对该活动于2023年12月开始的评估一致。该证书的颁发者名为“dropher[.]com”，主题名称是“blum[.]com”。

Turla 使用的凿子恶意软件的 TLS 证书。 

在我们的数据分析过程中，我们发现我们以高置信度评估的另一份证书也是由 Turla 操作员生成的，但目前尚不清楚这是否是一个错误，或者他们是否打算将该证书用于另一个经过修改的凿子植入物。 

证书颁发者 DN。

新证书具有相同的颁发者，但在本例中，通用名称为blum[.]com，序列号为 0x1000。该证书的生成时间比修改后的 chisel 客户端/代理中使用的证书早一秒。

用于提升流程执行和凭证收集的附加工具

Turla 还部署了另外两个工具来帮助他们在受感染的系统上进行恶意操作。一个用于在系统上运行任意命令，另一个用于窃取 Microsoft Edge 浏览器的登录数据。

第一个工具是一个小而简单的 Windows 可执行文件，用于通过模拟另一个现有进程的权限级别在系统上创建新的命令行进程。该工具将接受一个目标进程标识符（PID），该标识符表示要模拟其权限级别的进程以及需要执行的命令行。然后，会生成一个新的 cmd[.]exe，并用于在受感染端点上执行任意命令。该二进制文件于 2022 年初编译，很可能在 Turla 之前的活动中使用过。

该工具包含嵌入式 cmd[.]exe 命令行。

Talos 发现的第二个工具是一个 PowerShell 脚本，位于以下位置：

C:windowssystem32edgeparser.ps1

此脚本用于从位于以下位置的 Microsoft Edge 查找登录数据：

%userprofile%AppDataLocalMicrosoftEdgeUser DataDefaultLogin Data

此数据文件以及从端点提取的登录数据的相应解密密钥将存档到 ZIP 文件中并存储在目录中：C:windowstemp<filename>.zip

该脚本也可用于获取 Google Chrome 的凭据，但已被修改为解析来自以下位置的登录数据：

%userprofile%AppDataLocalMicrosoftEdge

PowerShell 脚本获取密钥和登录数据以添加到存档中以进行渗透。

TTNG 使用权限提升工具使用以下命令运行 PowerShell 脚本：

“C:WindowsSystem32i.exe”_PID_“powershell -f C:WindowsSystem32edgeparser.ps1”

这会导致该工具使用命令行生成一个新进程：

C:WindowsSystem32cmd.exe /c "powershell -f C:WindowsSystem32edgeparser.ps1"

覆盖范围

下面列出了我们的客户可以检测和阻止此威胁的方法。

思科安全端点（以前称为 AMP for Endpoints）非常适合防止执行本文中详述的恶意软件。在这里免费试用 Secure Endpoint。

思科安全网络设备网络扫描可防止访问恶意网站并检测这些攻击中使用的恶意软件。

思科安全电子邮件（以前称为思科电子邮件安全）可以阻止威胁行为者在其活动中发送的恶意电子邮件。您可以在这里免费试用安全电子邮件。

思科安全防火墙（以前称为下一代防火墙和 Firepower NGFW）设备（例如Threat Defense Virtual、自适应安全设备和Meraki MX）可以检测与此威胁相关的恶意活动。

思科安全恶意软件分析(Threat Grid) 可识别恶意二进制文件并在所有思科安全产品中构建保护。

Umbrella是思科的安全互联网网关 (SIG)，可阻止用户连接到恶意域、IP 和 URL，无论用户是否位于公司网络内。在此注册免费试用 Umbrella。

思科安全网络设备（以前称为网络安全设备）会自动阻止潜在危险站点并在用户访问可疑站点之前对其进行测试。

防火墙管理中心提供针对您的特定环境和威胁数据的附加保护。

Cisco Duo为用户提供多重身份验证，以确保只有经过授权的用户才能访问您的网络。

开源 Snort 订阅者规则集客户可以通过下载可在Snort.org上购买的最新规则包来了解最新情况。

IOC

这项研究的 IOC 也可以在我们的 GitHub 存储库中找到。https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

哈希值

267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b

d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40

ad4d196b3d85d982343f32d52bffc6ebfeec7bf30553fa441fd7c3ae495075fc

13c017cb706ef869c061078048e550dba1613c0f2e8f2e409d97a1c0d9949346

b376a3a6bae73840e70b2fa3df99d881def9250b42b6b8b0458d0445ddfbc044

域名

hanagram[.]jp

thefinetreats[.]com

caduff-sa[.]ch

jeepcarlease[.]com

buy-new-car[.]com

carleasingguru[.]com

IP Addresses

91[.]193[.]18[.]120

此文翻译自：
https://blog.talosintelligence.com/tinyturla-ng-tooling-and-c2/