Раскрытие некоторых тайн Snake/Uroburos
Краткое содержание
В течение последних 10 месяцев эксперты «Лаборатории Касперского» осуществляют анализ крупномасштабной кампании по кибершпионажу, которой мы присвоили название «Epic Turla». Злоумышленникам, организовавшим эту кампанию, удалось заразить несколько сотен компьютеров в более чем 45 странах мира, принадлежащих, в частности, государственным учреждениям, посольствам, военным, исследовательским центрам и фармацевтическим компаниям.
Известно, что в ходе атак применено как минимум два эксплойта нулевого дня:
- CVE-2013-5065 – уязвимость в Windows XP и Windows 2003, позволяющая атакующим повысить свои привилегии в системе
- CVE-2013-3346 – уязвимость в Adobe Reader, дающая атакующим возможность выполнения произвольного кода
Кроме того, при проведении этих атак злоумышленники используют эксплойты для более старых уязвимостей (для которых уже выпущены патчи), приемы социальной инженерии и методы watering-hole. Главный бэкдор, применяемый в атаках Epic, известен также под именами WorldCupSec, TadjMakhal, Wipbot и Tavdig.
На момент публикации компанией G-Data в феврале информации о Turla/Uroburos некоторые вопросы оставались без ответа. Один из наиболее значимых касался вектора заражения, используемого вредоносной программой Turla (она же Snake и Uroburos). Наш анализ показал, что компьютеры жертв заражаются путем сложной многоэтапной атаки, на первом этапе которой применяется бэкдор Epic Turla. Со временем, когда злоумышленники становятся более уверенными в успехе, на смену этому бэкдору приходят более сложные – такие как система Carbon/Cobra. Иногда оба бэкдора работают в тандеме, «спасая» друг друга в случае потери связи с одним из них.
После сбора злоумышленниками – без ведома пользователя – необходимых им конфиденциальных сведений атакующие устанавливают бэкдор и другие механизмы, позволяющие надежно закрепиться в системе.
По состоянию на август 2014 года атаки продолжаются; киберпреступники предпринимают активные попытки заражения пользователей в Европе и на Ближнем Востоке.
Замечание: Подробный анализ атак Epic доступен подписчикам Kaspersky Intelligence Services. Адрес для связи: intelreports@kaspersky.com
Атаки Epic Turla
Атаки, проводимые в рамках данной кампании, можно разделить на несколько групп в зависимости от вектора первичного заражения компьютера:
- Целевые рассылки фишинговых писем с PDF-эксплойтами (CVE-2013-3346 + CVE-2013-5065)
- Атаки с применением социальной инженерии с целью убедить пользователя запустить вредоносный установщик с расширением .SCR, иногда упакованный в архив RAR
- Атаки типа watering hole с применением Java-эксплойтов (CVE-2012-1723), Flash-эксплойтов (неизвестные уязвимости) и эксплойтов для Internet Explorer 6, 7, 8 (неизвестные уязвимости)
- Атаки типа watering hole, в которых приемы социальной инженерии применяются с целью убедить пользователя запустить вредоносный установщик, замаскированный под инсталлятор Flash Player
Для заражения жертв киберпреступники применяют как адресные фишинговые рассылки (spearphishing), так и атаки типа watering hole. Watering hole, или waterhole (буквально – водопой), – это популярный среди атакуемых сайт, который взломан злоумышленниками и используется ими для раздачи вредоносного кода.
На данный момент мы сталкивались с использованием против жертв только вложений, а не собственно электронных сообщений. Вложения в PDF-формате при открытии не показывают жертвам никакого содержимого, а пакеты SCR иногда после успешной установки демонстрируют чистый PDF-файл.
Ниже перечислены некоторые известные нам имена вложений, используемых в адресных фишинговых атаках:
- ؤتمر جنيف.rar (перевод названия с арабского: «женевская конференция.rar»)
- NATO position on Syria.scr
- Note_№107-41D.pdf
- Talking Points.scr
- border_security_protocol.rar
- Security protocol.scr
- Program.scr
В некоторых случаях имена файлов дают определенное представление о том, что представляют собой жертвы, против которых направлены атаки киберпреступников.
Атаки типа watering hole
В настоящее время злоумышленники, стоящие за атаками Epic, поддерживают обширную сеть сайтов-приманок (watering holes), каждый из которых с хирургической точностью рассчитан на привлечение определенной категории посетителей.
Вот несколько примеров вредоносных сайтов:
Сайт мэрии города Piñor (Испания)
Сайт для привлечения предпринимателей в пограничные районы Румынии
Министерство иностранных дел Палестинской автономии
В общей сложности нам известно о более 100 зараженных сайтов. В настоящее время наибольшее число таких сайтов находится в Румынии.
На диаграмме показано число зараженных сайтов по странам:
Очевидно, что такое распределение сайтов по странам не является случайным и дает определенное представление об интересах злоумышленников. Например, многие из зараженных сайтов на территории Румынии находятся в уезде Муреш, а многие из зараженных сайтов в Испании принадлежат муниципальным властям (мэриям).
Большинство зараженных сайтов создано на основе системы управления контентом TYPO3 (https://typo3.org/). Возможно, это говорит о том, что злоумышленники опираются на конкретную уязвимость в этой платформе.
Вредоносные сайты загружают в браузер жертвы JavaScript:
Скрипт sitenavigatoin.js предназначен для определения браузера и подключаемых модулей в духе Pinlady. Он, в свою очередь, перенаправляет пользователя на PHP-скрипт, который иногда имеет имя main.php или wreq.php. Иногда злоумышленники регистрируют на сервере расширение.JPG как открываемое по умолчанию PHP-обработчиком, что позволяет запускать PHP-скрипты, замаскированные под JPG-файлы:
Главный скрипт, обеспечивающий эксплуатацию уязвимости, называется «wreq.php», «main.php» или «main.jpg». Он выполняет несколько задач. Мы обнаружили несколько версий этого скрипта, которые задействуют разные механизмы эксплуатации.
Одна из версий скрипта пытается эксплуатировать уязвимости в Internet Explorer версий 6, 7 и 8:
Скрипт для эксплуатации уязвимости в Internet Explorer
К сожалению, обнаружить эксплойты для Internet Explorer пока не удалось.
Другая, более поздняя версия пытается эксплуатировать уязвимости в Oracle Sun Java и Adobe Flash Player:
Скрипты для эксплуатации уязвимостей в Java и Flash Player
Эксплойты для Flash Player также не удалось обнаружить, однако мы сумели получить Java-эксплойты:
Имя | MD5 |
allj.html | 536eca0defc14eff0a38b64c74e03c79 |
allj.jar | f41077c4734ef27dec41c89223136cf8 |
allj64.html | 15060a4b998d8e288589d31ccd230f86 |
allj64.jar | e481f5ea90d684e5986e70e6338539b4 |
lstj.jar | 21cbc17b28126b88b954b3b123958b46 |
lstj.html | acae4a875cd160c015adfdea57bd62c4 |
Java-файлы используют широко известную уязвимость – CVE-2012-1723 – в различных конфигурациях.
Эти Java-эксплойты доставляют на компьютер жертвы следующую полезную нагрузку:
MD5: d7ca9cf72753df7392bfeea834bcf992 |
Java-эксплойт использует специальный загрузчик, который пытается внедрить в процесс explorer.exe полезную нагрузку, содержащуюся в бэкдоре Epic. В бэкдоре, извлекаемом из Java-эксплойтов, в явном виде прописан следующий командный сервер:
www.arshinmalalan[.]com/themes/v6/templates/css/in.php |
Этот командный сервер по-прежнему действует, однако в настоящее время он перенаправляет запросы на страницу, которая в данный момент заблокирована – hxxp://busandcoachdirectory.com[.]au. (Полный список C&C серверов см. в Appendix.)
Организаторы атак Epic Turla очень гибко подходят к применению эксплойтов и методов атаки в зависимости от того, что доступно в данный момент. В последнее время они стали использовать еще один прием в сочетании с атаками типа watering hole. Он состоит в использовании социальной инженерии, чтобы убедить пользователя запустить фальшивый экземпляр Flash Player (MD5: 030f5fdb78bfc1ce7b459d3cc2cf1877):
По крайней мере в одном случае злоумышленники пытались спровоцировать пользователя на загрузку и запуск фальшивого приложения Microsoft Security Essentials (MD5: 89b0f1a3a667e5cd43f5670e12dba411):
Фальшивое приложение подписано действительным цифровым сертификатом, принадлежащим компании Sysprint AG:
Serial number: 00 c0 a3 9e 33 ec 8b ea 47 72 de 4b dc b7 49 bb 95
Thumbprint: 24 21 58 64 f1 28 97 2b 26 22 17 2d ee 62 82 46 07 99 ca 46
Действительная цифровая подпись, принадлежащая компании Sysprint AG, которой подписан дроппер Epic
Для распространения этого файла использовался сайт Министерства иностранных дел Таджикистана, находящийся по адресу hxxp://mfa[.]tj/upload/security.php.
Файл представляет собой приложение .NET, содержащее зашифрованный ресурс, из которого извлекается вредоносный файл с MD5 7731d42b043865559258464fe1c98513.
Это бэкдор Epic, имеющий внутренний идентификатор 1156fd22-3443-4344-c4ffff. Он устанавливает соединения со следующими командными серверами:
hxxp://homaxcompany[.]com/components/com_sitemap/ hxxp://www.hadilotfi[.]com/wp-content/themes/profile/ |
Полный список URL С&C серверов, обнаруженных нами в самплах, можно посмотреть в Appendix.
Инфраструктура командных серверов Epic
Управление бэкдорами Epic осуществляется через большую сеть взломанных серверов, используемых в качестве командных серверов.
Большая сеть, управляемая организаторами атак Epic Turla, выполняет несколько задач. В частности, серверы – «базы» используются одновременно в качестве площадок для раздачи эксплойтов и как панели управления вредоносным ПО.
Вот как выглядит схема атаки:
Командные прокси-серверы первого уровня в общем случае обмениваются данными с прокси-серверами второго уровня, которые, в свою очередь, обмениваются данными с сервером, играющим роль базы для проведения атак. Это, как правило, VPS (виртуальный выделенный сервер), на котором работает программная панель управления, используемая для взаимодействия с компьютерами жертв. Злоумышленники управляют «базой» через сеть прокси-серверов и VPN-серверов для обеспечения собственной анонимности. «База» также используется в атаках watering hole для размещения и доставки на компьютеры жертв эксплойтов для Java и IE или фальшивых приложений.
Нам удалось получить в свое распоряжение копию одного из серверов – «баз», что позволило нам лучше понять схему организации атак.
На сервере работает защищенная паролем панель управления:
Вход в панельуправления сервера – «базы» Epic
После авторизации в панели управления злоумышленники видят общую информацию о системе, включая число перспективных потенциальных целей атаки:
Обзор статуса атаки в панели управления Epic
Большой интерес представляет размещенный на серверах файл task.css, в котором злоумышленники регистрируют интересующие их диапазоны IP-адресов. Для редактирования файла используется «Task editor» (редактор задач) из меню панели управления. В зависимости от «задач» принимается решение о заражении или отказе от заражения посетителей сайта. В данном случае мы обнаружили два целевых диапазона IP-адресов, принадлежащие:
- «Страна 1» – сеть Федерального правительства
- «Страна 2» – сеть Управления связи и информатики
Здесь нужно отметить следующее. Тот факт, что злоумышленники организовали атаку на данные диапазоны адресов, не обязательно означает, что компьютеры с этими адресами были заражены. В списках целевых IP-диапазонов было также обнаружено несколько IP-адресов, владельцы которых неизвестны.
Еще один файл, представляющий интерес – except.css, используемый злоумышленниками как журнал причин, по которым не делались попытки атаковать тех или иных посетителей сайта. Имеются три возможных значения:
- TRY (пытаться)
- DON’T TRY -> Version of the browser and OS does not meet the conditions (не пытаться -> версии браузера и ОС не соответствуют критериям)
- DON’T TRY -> (2012-09-19 10:02:04) — checktime < 60 (не пытаться (2012-09-19 10:02:04) – контрольное время < 60)
В журнале содержится информация о следующих версиях, «не соответствующих критериям»:
- Windows 7 or 2008 R2
- MSIE 8.0
- Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
- Adobe Shockwave 11.5.1.601
- Adobe Flash 10.3.181.14
- Adobe Reader 10.1.0.0
- Win Media Player 12.0.7601.17514
- Quick Time null
- MS Word null
- Java null
Бэкдор Epic / Tavdig / Wipbot
На этом – первом – этапе атаки злоумышленники используют специально созданный бэкдор. В некоторых случаях бэкдор используется в связке с эксплойтом к уязвимости CVE-2013-5065 для повышения привилегий в системе и подвергается сильной обфускации, что затрудняет анализ.
Эксплойт к CVE-2013-5065 позволяет бэкдору получить в зараженной системе привилегии администратора и работать без ограничений. Данный эксплойт эффективен только на компьютерах с системой Microsoft Windows XP, в которой не установлен соответствующий патч.
Другие известные имена, под которыми может детектироваться данный бэкдор, –Trojan.Wipbot (Symantec) и Tavdig.
Главный бэкдор имеет размер около 60 КБ. Протокол, используемый им для связи с командным сервером, основан на отправке данных поверх обычных HTTP-запросов. В ответах, посылаемых командным сервером, используются запросы вида , которые расшифровываются и обрабатываются вредоносной программой. Ответы отправляются на командный сервер по тому же каналу.
Поведение вредоносной программы определяется в конфигурационном блоке, который, как правило, содержит два жестко запрограммированных URL-адреса командных серверов. Нам также известно об одном случае, когда в конфигурационном блоке был прописан только один URL-адрес. Атакующие имеют возможность через командный сервер на лету обновлять конфигурацию.
Бэкдор пытается обнаружить следующие процессы и при успешном обнаружении прекращает свою работу:
- tcpdump.exe
- windump.exe
- ethereal.exe
- wireshark.exe
- ettercap.exe
- snoop.exe
- dsniff.exe
Вредоносная программа имеет собственный уникальный идентификатор, позволяющий командному серверу идентифицировать жертву. У большинства образцов, особенно старых, идентификатор 1156fd22-3443-4344-c4ffff. После признания жертвы «интересной» злоумышленники загружают на компьютер еще один бэкдор Epic, имеющий уникальный идентификатор, обеспечивающий возможность управления работой вредоносного ПО на компьютере конкретной жертвы.
В первом запросе, посылаемом на командный сервер, бэкдор отправляет блок информации о зараженной системе. Все остальные данные, отправляемые на командный сервер, шифруются с помощью системы шифрования с открытым ключом, что делает расшифровку невозможной. Команды, посылаемые командным сервером, шифруются с помощью более простого алгоритма и могут быть расшифрованы, поскольку секретный ключ к шифру жестко запрограммирован во вредоносной программе.
Путем мониторинга нам удалось перехватить большое количество команд, отправляемых злоумышленниками жертвам. Это позволило получить уникальные сведения об атаках. Ниже в качестве примера приведен один из зашифрованных ответов командного сервера:
После заражения жертвы и ее «регистрации» на сервере злоумышленники отправляют шаблонный набор команд:
Затем они пытаются получить доступ к другим компьютерам в сети жертвы, используя список предопределенных или украденных паролей:
Рекурсивный поиск всех файлов с расширением .doc – тоже постоянно встречающаяся «тема»:
В общей сложности мы расшифровали несколько сотен подобных пакетов команд, доставленных на компьютеры жертв. Это дало нам уникальную возможность получить представление о схеме работы злоумышленников.
Наряду с поисками по общим признакам были обнаружены и попытки поиска конкретных данных. В частности, злоумышленники искали:
- *NATO*.msg
- eu energy dialogue*.*
- EU*.msg
- Budapest*.msg
В данном случае атакующих интересовали электронные письма, имеющие отношения к темам< "НАТО", "Энергетический диалог в рамках Европейского Союза" и т.д.
На некоторых из командных серверов киберпреступники реализовали шифрование журналов с помощью алгоритма RSA, что делает их расшифровку невозможной. Эта схема была реализована в апреле 2014 года.
Распространение по сети и замена на более сложные бэкдоры
После заражения компьютера жертвы злоумышленники загружают на него несколько инструментов, применяемых для дальнейшего распространения по сети.
Пример подобного инструмента, использованного в ходе атаки и сохраненного под именем C:Documents and SettingsAll usersStart MenuProgramsStartupwinsvclg.exe:
Имя: winsvclg.exe MD5: a3cbf6179d437909eb532b7319b3dafe Дата компиляции: вторник, 02 октября 2012 г., 13:51:50 |
Это клавиатурный шпион. Он создает файл %temp%~DFD3O8.tmp. Замечание: имя файла может различаться у разных жертв. Например, на одном из компьютеров жертв, установленном в министерстве иностранных дел одной из стран Центральной Азии, было использовано имя файла adobe32updt.exe.
Мы обнаружили, что кроме подобных нестандартных инструментов злоумышленники применяли и стандартные средства управления. Например, среди утилит, которые киберпреступники часто загружали на компьютеры жертв, был файл winrs.exe:
Имя: winrs.exe MD5: 1369fee289fe7798a02cde100a5e91d8 |
Это сжатый упаковщиком UPX бинарный файл, содержащий подлинную утилиту dnsquery.exe, созданную Microsoft. MD5 распакованного файла: c0c03b71684eb0545ef9182f5f9928ca.
В нескольких случаях мы столкнулись с интересной заменой бэкдора на вредоносную программу из другого семейства, родственного данному.
Размер: 275,968 байтов MD5: e9580b6b13822090db018c320e80865f Дата компиляции: четверг, 08 ноября 2012 г. 11:05:35 |
и еще один пример:
Размер: 218,112 байтов MD5: 071d3b60ebec2095165b6879e41211f2 Дата компиляции: четверг, 08 ноября 2012 г. 11:04:39 |
Это более сложный бэкдор, относящийся к средствам кибершпионажа более высокого уровня, который организаторы атак Turla называют «системой Carbon», или «Cobra». Известно о существовании нескольких подключаемых модулей «системы Carbon».
Расшифрованный конфигурационный блок e9580b6b13822090db018c320e80865f
Замечание: командные серверы www.losguayaberos[.]com и thebesttothbrushes[.]com заблокированы «Лабораторией Касперского» с применением технологии sinkhole.
Среди пакетов, доставляемых на компьютеры жертв, присутствуют следующие:
MD5: c7617251d523f3bc4189d53df1985ca9 MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1 |
Эти пакеты верхнего уровня используются для развертывания как обновленных версий бэкдоров Epic, так и бэкдоров Turla системы Carbon на компьютерах пользователей, отобранных злоумышленниками на роль жертв. Фактически, это означает, что кампании Epic и Turla составляют единое целое.
Дроппер Turla Carbon, доставляемый в этих пакетах, имеет следующие характеристики:
MD5: cb1b68d9971c2353c2d6a8119c49b51f |
Он используется для развертывания вредоносной программы, которую злоумышленники именуют «система Carbon» и которая входит в состав проекта «Cobra», как видно из оставленной в коде отладочной информации:
Он выполняет функции дроппера для следующих модулей – как 32-разрядных, так и 64-разрядных:
MD5 | Номер ресурса |
4c1017de62ea4788c7c8058a8f825a2d | 101 |
43e896ede6fe025ee90f7f27c6d376a4 | 102 |
e6d1dcc6c2601e592f2b03f35b06fa8f | 104 |
554450c1ecb925693fedbb9e56702646 | 105 |
df230db9bddf200b24d8744ad84d80e8 | 161 |
91a5594343b47462ebd6266a9c40abbe | 162 |
244505129d96be57134cb00f27d4359c | 164 |
4ae7e6011b550372d2a73ab3b4d67096 | 165 |
По сути, система Carbon – это расширяемая платформа, очень похожая на другие платформы для проведения атак, таких как Tilded или Flame. Плагины для системы Carbon легко распознать, поскольку в них всегда есть как минимум две экспортируемые функции со следующими именами:
- ModuleStart
- ModuleStop
Плагин системы Carbon с характерными экспортируемыми функциями
Похоже, что несколько бэкдоров Epic тоже создавались в расчете на использование в качестве плагинов для системы Carbon – для их запуска на компьютерах жертв, на которых не развернута система Carbon, необходим специализированный загрузчик.
Некоторые из модулей содержат объекты, свидетельствующие о том, что в настоящее время используется версия 3.x системы Carbon, но при этом в образцах очень редко бывает обозначена конкретная версия системы Carbon.
В коде модуля Carbon, приведенного выше в качестве примера, можно также найти указание на автора – «gilg». Такое же авторство имеют еще несколько модулей Turla.
Мы планируем подготовить отчет, в котором система Turla Carbon будет описана более подробно.
Языковые артефакты
В состав полезной нагрузки, извлеченной с одного из серверов – «баз» (по адресу newsforum.servehttp[.]com/wordpress/wp-includes/css/img/upload.php, MD5: 4dc22c1695d1f275c3b6e503a1b171f5, дата компиляции: четверг, 06 сентября 2012 г. 14:09:55) входят два модуля – загрузчик/модуль внедрения и бэкдор. Внутреннее имя, используемое бэкдором, – Zagruzchik.dll:
«Zagruzchik» – это русское слово загрузчик.
Кроме того, в панели управления серверов – «баз» Epic установлена кодовая страница 1251:
Как правило, кодовая страница 1251 используется для отображения кириллических символов.
Есть и другие признаки, свидетельствующие о том, что английский язык – не родной для злоумышленников:
- Password it´s wrong!
- Count successful more MAX
- File is not exists
- File is exists for edit
В образце e9580b6b13822090db018c320e80865f, доставленном на компьютеры нескольких жертв Epic в качестве обновленной версии бэкдора, имеется информация о том, что при компиляции система работала с языком кодовой страницы «LANG_RUSSIAN».
Как правило, организаторы кампании Epic используют для размещения своих прокси-серверов взломанные серверы, управление которыми осуществляется через PHP-вебшелл, защищенный паролем; проверка которого осуществляется путем сопоставления MD5-хешей:
Как удалось установить экспертам «Лаборатории Касперского», MD5 «af3e8be26c63c4dd066935629cf9bac8» соответствует паролю «kenpachi». В феврале 2014 года мы видели, что злоумышленники, стоящие за бэкдором Miniduke, применяют на взломанных серверах тот же бэкдор, однако с гораздо более надежным паролем.
Интересно, что вебшелл также использует кодовую страницу 1251, созданную для отображения кириллических символов.
Отметим, что этим связь между Turla и Miniduke не ограничивается, однако этот вопрос мы оставим для будущего постинга.
Статистика по жертвам атак
На некоторых из командных серверов, задействованных в атаках Epic, нам удалось обнаружить подробные статистические данные по жертвам атак, которые сохранялись злоумышленниками для целей отладки.
На диаграмме ниже показаны 20 стран, наиболее пострадавших от атак, на основе данных о географическом распределении IP-адресов жертв:
Исходя из общедоступной информации об IP-адресах, можно выделить следующие категории жертв атак Epic:
- Государственные органы
- Министерство внутренних дел (страна – член ЕС)
- Министерство торговли и коммерции (страна – член ЕС)
- Министерство иностранных дел (азиатская страна, страна – член ЕС)
- Спецслужбы (Ближний Восток, страна – член ЕС)
- Посольства
- Военные (страна – член ЕС)
- Образование
- Исследовательские структуры (Ближний Восток)
- Фармацевтические компании
- Неизвестно (невозможно определить по IP-адресу/имеющимся данным)
Резюме
Когда компания G-Data опубликовала свой отчет по Turla, было доступно очень мало информации о том, каким образом в ходе данной вредоносной кампании происходит заражение жертв. Осуществленный нами анализ позволяет сделать вывод, что мы имеем дело со сложной, многоэтапной схемой заражения, в рамках которой компьютеры жертв сначала заражаются вредоносной программой Epic Turla. Эта программа используется для того, чтобы закрепиться в системе и оценить, действительно ли жертва занимает высокое положение и представляет интерес для злоумышленников. Если интерес присутствует, то программа заменяется на систему Turla Carbon.
Последняя на данный момент известная нам попытка атаковать пользователя «Лаборатории Касперского» имела место 5 августа 2014 года. Это говорит о том, что кампания по-прежнему находится в активной фазе.
Замечание: Подробный анализ атак Epic доступен подписчикам Kaspersky Intelligence Services. Адрес для связи: intelreports@kaspersky.com
Тем, кто хочет прочитать еще про Turla/Uroburos, мы рекомендуем:
- Статья G-Data «Uroburos Highly complex espionage software with Russian roots»
- Анализ BAE Systems «The Snake campaign»
- «Uroburos: the snake rootkit«, технический анализ deresz и tecamac
- «TR-25 Analysis — Turla / Pfinet / Snake/ Uroburos» от CIRCL.LU
Имена детектов продуктов «Лаборатории Касперского» для всех самплов вредоносных программ, описанных в данном посте:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Кампания Epic Turla
Oleg
>> командные серверы… заблокированы… с применением технологии sinkhole
Что за синкхол?