根据ESET的最新报道,ESET的研究人员近期发现了一个此前没有任何记录的后门和文件窃取恶意软件。这款恶意软件的开发人员将其命名为Crutch,并且现已将其跟臭名昭著的Turla APT组织联系到了一起。在2015年至2020年初的一系列 *** 间谍活动中,俄罗斯黑客组织Turla就使用了这款此前从未被发现的恶意软件框架来针对各种 *** 机构进行攻击。据了解,俄罗斯黑客组织Turla所使用的Crutch恶意软件可以帮助 *** 攻击者收集和提取泄露的敏感文件。
我们对俄罗斯黑客组织Turla以及他们所使用的Crutch恶意软件框架进行了深入分析,而Turla的攻击复杂程度以及相关的技术细节也足以证明,俄罗斯黑客组织Turla绝对拥有大量的资源来运营和维护如此庞大而多样化的 *** 攻击武器库。
ESET的安全研究专家之所以能够将Crutch恶意软件与俄罗斯黑客组织Turla(APT组织)联系起来,主要是根据该黑客组织在2016年至2017年之间所使用的后门特性才下的结论。当时,该黑客组织当时使用的第二阶段后门为Gazer(SHA-1 1AE4775EFF21FB59708E8C2B55967CD24840C8D9),这款后门程序也被称为WhiteBear,而它跟Crutch恶意软件(SHA-1 A010D5449D29A1916827FDB443E3C84C*405CB2A5)在某些方面有着高度的相似性:
鉴于这些因素以及两者之间的相似性,而且此前也没有发现Turla恶意软件家族有跟其他的 *** 犯罪组织共享过代码,因此我们有理由认为Crutch恶意软件就是属于Turla *** 攻击武器库的一部分。
另一个有意思的地方在于,研究人员竟然还在同一台受感染主机中同时发现了FatDuke和Crutch。前者是Dukes/APT29所使用的第三阶段后门,不过目前还没有任何证据表明这两个恶意软件家族之间有什么相关性。
根据ESET LiveGrid?的数据,Turla使用了Crutch来对欧盟某国外交部的几台机器执行了攻击,而Crutch可以帮助 *** 攻击者收集和提取泄露的敏感文件,并将这些收集到的文件存储至Dropbox账号中以备后续使用。
在分析过程中,我们捕捉到了几个由攻击者发送至几个Crutch v3实例的某些控制命令,这些信息可以帮助我们更好地了解攻击者的目的,其中涉及到了大量 *** 侦察、横向渗透和 *** 间谍活动。
该恶意软件的主要而已活动是文档和各种文件的暂存、压缩和过滤,具体如下代码所示:
copy /y \\<redacted>\C$?\<redacted>\prog\csrftokens.txt c:\programdata\ & dir /x c:\programdata\ copy /y \\<redacted>\c$??Downloads\FWD___~1.ZIP %temp%\ copy /y \\<redacted>\c$\docume~1\User\My Documents\Downloads\8937.pdf %temp% "C:\Program Files\WinRAR\Rar.exe" a -hp<redacted> -ri10 -r -y -u -m2 -v30m "%temp%\~res.dat" "d:\<redacted>\*.*" "d:\$RECYCLE.BIN\*.doc*" "d:\$RECYCLE.BIN\*.pdf*" "d:\$RECYCLE.BIN\*.xls*" "d:\Recycled\*.doc*" "d:\Recycled\*.pdf*" "d:\<redacted>\*.pdf"
这些命令是由攻击者手动执行的,因此不会显示驱动器监视器组件自动收集文档的情况。文件提取则是由后门命令执行的,这些会在之后的部分进行介绍。
最后,攻击者还会在某个时刻执行下列命令:
mkdir %temp%\Illbeback
为了了解Turla的工作时间,我们对其上传至Dropbox的ZIP文件时间进行了分析。这些ZIP文件中包含了后门控制命令,并由攻击者从后门读取和执行其内容时起异步上传到Dropbox。我们收集了506个不同的时间戳,范围从2018年10月到2019年7月。具体如下图所示:
由此可见,他们的工作时间与俄罗斯UTC + 3时区一致。
早在2017年,俄罗斯黑客组织Turla在攻击的之一个阶段会选择使用Skipper来对目标主机进行感染攻击,然后在第二个阶段,他们才会使用Crutch恶意软件来作为第二阶段后门程序。但是在某些情况下,俄罗斯黑客组织Turla还会使用开源的PowerShell Empire后渗透框架来进行攻击。
在2015年至2019年年中这段时间里的Crutch还是早期的版本,当时版本的Crutch使用了后门通信信道并通过Dropbox的官方HTTP API接口来跟硬编码的Dropbox账号进行通信,并使用了不具备 *** 通信功能的驱动器监控工具来存储、搜索、提取和加密敏感文件。
在此之后,Crutch的开发者又使用了一个更新版本(ESET将其标记为“version 4”)。在这个版本中,Crutch新增了一个 *** 通信功能的可移动驱动器监视器,并移除了后门功能。
但是,由于这个新版本的Crutch能够使用使用Windows版本的Wget实用程序自动将在本地驱动器和可移动驱动器上收集到的敏感文件上传到Dropbox *** 存储之中,也就是说,这个版本的Crutch实现的是一种更加简单的敏感文件收集 *** 。
Crutch v4的工作目录为C:\Intel,其中包含下列组件:
跟Crutch v3类似,Crutch v4也使用了DLL劫持技术,以便在安装了Chrome、Firefox或OneDrive的受感染设备上实现持久化感染,此时的Cruch version 4会以“一个旧的Microsoft Outlook组件”的身份来感染目标主机。
SHA-1 | 描述 | ESET检测名称 |
A010D5449D29A1916827FDB443E3C84C*405CB2A5 | Crutch dropper跟Gazer类似 | Win64/Agent.VX |
2FABCF0FCE7F733F45E73B432F413E564B92D651 | Crutch v3后门 | Win32/Agent.TQL |
A4AFF23B9A58B598524A71F09AA67994083A9C83 | Crutch v3后门 | Win32/Agent.TQL |
778AA3A58F5C76E537B5FE287912CC53469A6078 | Crutch v4 | Win32/Agent.SVE |
C:\Intel\ C:\AMD\Temp\
C:\Intel\outllib.dll C:\Intel\lang.nls C:\Intel\~intel_upd.exe C:\Intel\~csrss.exe C:\Program Files (x86)\Google\Chrome\Application\dwmapi.dll C:\Program Files (x86)\Mozilla Firefox\rasadhlp.dll %LOCALAPPDATA%\Microsoft\OneDrive\dwmapi.dll
hotspot.accesscam[.]org highcolumn.webredirect[.]org ethdns.mywire[.]org theguardian.webredirect[.]org https://raw.githubusercontent[.]com/ksRD18pro/ksRD18/master/ntk.tmp
透支卡能够转帐吗(透支卡能够向银行转账吗)转帐的个人行为一般分成二种:一种是“转出”,一种是“转到”。可是透支卡究竟是否具有转帐的作用呢?非常值得我们一起来认证一下! 最先得掌握透支卡它也称作...
北京模特杨雅康的材料信息内容 预定平台:QQ号 价钱花费:3102米 女学妹种类:YY网络主播 艺人经纪人:杨雅康 关心总数:9115 想约总数:6540人 資源总数:7139人 今天丽人:27...
目录结构: 0:000> dps 1575960[1][2][3]黑客接单 DNS绑架这种技能是现在来说最高端的一种办法,非触摸随时可控,运营商直接在绑架你的站点跳转到一些XXX网站,现在晋级...
. 定心丸有的时候其实是让一些太为孩子着急的家长打一个定心剂,往往一些孩子对于一些东西会出现的反应不同,疫苗的反应也是一样的,作为冬季流感定心丸疫苗接种来说有的时候一些孩子会出现一些不良反应,家长应...
找黑客入侵ip地址相关问题 关于黑客的漫画相关问题 黑客界面怎么打开 怎样黑客(怎样当一名黑客) 人要怎么当黑客...
普通话命题说话范文30篇1.我的愿望(或理想)我很小时候就有一个愿望,就是长大后当一名优秀的教师。我喜欢当教师有几个原因,外在原因是觉得教师这个职业。 只要范文的内容与话题有些关联,都可以适用。普通话...