Turla APT:攻击行动评估 - By nEINEI Time:2014-08-07 1) Turla(aka.Snake/Uroburos/waterbug)背后的攻击者已经感染了超过45个国家的数百台计算机,包括政府机构,大使馆,军队,教育,研究和制药公司。 2) 这些攻击仍在继续,主要针对欧洲和中东地区的用户。 3) Turla同MiniDuke组织存在关联关系,都就有非常复杂的木马间谍软件的强大功能实现。 4) 在2014-12-8发现Turla开始攻击linux平台。 5)2016年,Turla攻击者滥用了几个卫星DVB-S互联网提供商,使其成为基于卫星的精致C&C机制,其中大多数提供中东和非洲的下游连接。 Symptoms 相关样本信息: 764d643e5cdf3b8d4a04b50d0bc44660 d31f1d873fa3591c027b54c2aa76a52b ea1c266eec718323265c16b1fdc92dac bc2eff0a1544e74462e7377cf0de5a36 d22b0ec4e9b2302c07f38c835a78148a 86f28e8d9d6bda11abcf93b76074b311 d28661163ae91848e01a733836bfe0aa 09b7f890ccded1a6210119df8a9a08f9 //linux sample 0994d9deb50352e76b0322f48ee576c6 14ecd5e6fc8e501037b54ca263896a11 最小闭合的攻击样本: pdf漏洞dba209c99df5e94c13b1f44c0f23ef2b,size = 180284 dropper:cb1b68d9971c2353c2d6a8119c49b51f,size = 664576 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (鱼叉式钓鱼攻击或社交工程,水坑攻击) m = 12 (代码注入,rootkit,范围极广的间谍功能,加密网络,高强度破解难度,武器集合,特种木马,横移渗透,特定目标感染,高难度&复杂技术实现,针对特定文件利用,特殊持久化隐藏) p = 2 (攻击2种平台,windows/linux) x = 5+4+8 (0day漏洞利用,CVE-2013-5065,CVE-2013-3346,CVE-2012-172,盗用数字签名,完全属于apt组织的独有的破解高难度目标的利用技术[劫持卫星通信]); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 12 + 2) ^ 2 * (1+5+4+8) ^ 2 + (664576+180284)/1024 +500 = 18^2 * (18^2)+ 825 = 104976+825 = 105801 ==>105801*1000/613623(1T攻击力单位) = 83.116T 参考引用: 1.https://securelist.com/the-epic-turla-operation/65545/ 2.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08080105/KL_Epic_Turla_Technical_Appendix_20140806.pdf 3.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082358/uroburos.pdf 4.https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf 5.https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/ 6.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt