CVE-2013-5065 - vulnerabilidade que aborda escalonamento de privilégios no Windows XP e no Windows 2003;
CVE-2013-3346 - vulnerabilidade de execução de código arbitrário no Adobe Reader;
Também foram observados exploits contra vulnerabilidades antigas (corrigidas), implementação de técnicas de engenharia social e estratégias "watering hole" nestes ataques. O backdoor primário usado nos ataques do "Epic Turla" também é conhecido como "WorldCupSec", "TadjMakhal", "Wipbot" ou "Tavdig". Na sequência dos fatos, quando a G-Data publicou informações sobre Turla / Uroburos no mês de fevereiro, várias perguntas ficaram sem resposta.
Sofisticação dos Ataques e no Uso de Backdoors
Uma grande incógnita era sobre o vetor de infecção por Turla (aka Snake ou Uroburos). De acordo com a análise feita pelos pesquisadores, tudo indica que as vítimas são infectadas através de um sofisticado ataque multi-fase, que começa com o "Epic Turla". Com o tempo, codevido ao fato dos atacantes ganharem mais confiança, este é atualizado para backdoors mais sofisticados, como o sistema Carbon/ Cobra. Às vezes, ambos os backdoors são executados em conjunto, e um pode ser usado para "salvar" o outro se houver perda nas comunicações com um dos backdoors.
Uma vez que os atacantes conseguem as credenciais necessárias para suas investidas, logicamente sem que a vítima perceba, eles implantam o rootkit além de outros mecanismos de persistência extrema. Vale lembrar que os ataques desencadeados ainda estão em curso desde o mês de julho de 2014, visando ativamente usuários na Europa e no Oriente Médio.
Ataques Desencadeados pelo "Epic Turla"
Os ataques desta campanha se dividem em várias categorias diferentes, dependendo do vetor utilizado no processo de comprometimento inicial:
- E-mails Spearphishing com exploits Adobe PDF (CVE-2013-3346 + CVE-2013-5065): a engenharia social utilizada para enganar o usuário e levá-lo à execução de instaladores de malware com a extensão ".SCR", às vezes embalado com .RAR;
- Ataques "watering hole" usando exploits Java (CVE-2012-1723), exploits em Flash (unknown) ou exploits para Internet Explorer 6,7,8 (unknown);
- Ataques "watering hole" que dependem de engenharia social para enganar o usuário a executar o falso "Flash Player" - instalador de malware;
Vale ressaltar que os cybercriminosos usam ambos os ataques, tanto o spearphishing quanto o "watering hole" diretos para infectar suas vítimas. "Watering holes" (waterholes) são sites de interesse para as vítimas que foram comprometidas pelos atacantes, e que receberam injeção para disponibilizar código malicioso. Até agora, não houve a capacidade de localizar qualquer endereço de e-mail utilizado contra as vítimas, apenas os anexos. Os anexos de PDF não mostram qualquer "isca" para a vítima quando ele é aberto; no entanto, os pacotes SCR mostrar, em algum momento, um PDF após uma instalação bem-sucedida.
Alguns dos nomes de anexo que são bastante conhecidos e usados nos ataques do tipo "spearphishing" são:
ؤتمر جنيف.rar (translation from Arabic: "Geneva conference.rar")
NATO position on Syria.scr
Note_№107-41D.pdf
Talking Points.scr
border_security_protocol.rar
Security protocol.scr
Program.scr
Em alguns casos, esses nomes podem fornecer algumas pistas sobre o tipo de vítimas as quais os atacantes visam atingir.
Ataques "Watering Hole"
Atualmente, os atacantes envolvidos com o "Epic Turla", executam uma vasta rede de "watering hole" que têm como alvo os visitantes com "surgical precision".
Alguns dos Sites Injetados Incluem:
No total, foram observadas mais de 100 sites injetadas. Atualmente, o maior número de locais injetados é na Romênia.
Abaixo, segue estatística sobre os sites injetados:
Abaixo, segue estatística sobre os sites injetados:
A distribuição, obviamente, não é aleatória, e reflete alguns dos principais interesses dos atacantes. Por exemplo, na Romênia, muitos dos sites infectados estão na região de Mures, enquanto muitos dos sites infectados espanhóis pertencem a governos locais (City Hall). Vale ressaltar que a maioria dos sites infectados usa o TYPO3 CMS (ver: http://typo3.org/), o que poderia indicar, fortemente, que os atacantes estão abusando de uma vulnerabilidade específica nesta plataforma de publicação.
Os websites injetados, carregam um JavaScript no navegador da vítima:
O script "sitenavigatoin.js" é um browser estilo "Pinlady" e script com detecção de plugins, que por sua vez, redireciona para um script PHP, por muitas vezes chamado main.php ou wreq.php. Às vezes, os atacantes registram a extensão JPG com o processador PHP no servidor, usando arquivos "JPG" para rodar scripts PHP. O exploitation script principal "wreq.php", "main.php" ou "main.jpg", executa um determinado número de tarefas. Em face disso, foram localizadas várias versões deste script, que tentar colocar em prática vários mecanismos de exploração.
Epic Turla e sua Infra-estrutura de Comando e Controle
Os backdoors do "Epic Turla" são comandados por uma enorme rede de servidores crackeados, que oferecem funcionalidade de comando e controle. A enorme rede comandada pelos atacantes responsáveis pelo Turla serve para múltiplas finalidades. Por exemplo, os motherships funcionam tanto para exploração de sites quanto para painéis de comando e controle para o malware.
O primeiro nível de proxies de comando e controle, geralmente estabelece comunicação com um segundo nível de proxies, que por sua vez, de comunica com o servidor "mothership". O servidor master é geralmente um VPS, que executa o software do painel de controle, usado para interagir com as vítimas. Os atacantes operam o "mothership" usando uma rede de proxies e servidores VPN, por razões de anonimato. Além disso, "mothership" também funciona como servidores de exploração usados nos ataques do tipo "watering hole", entregando Java, IE ou aplicações falsas para a vítima.
Diante desse cenário, foi possível obter uma cópia de uma das "motherships", que forneceu alguns insights sobre a operação.
Uma vez conectado ao painel de controle, os atacantes podem ter uma visão geral do sistema, incluindo o número de potenciais alvos interessantes:
Um arquivo muito interessante sobre os servidores é o task.css, onde os atacantes definem as faixas de IP nas quais estão interessados. Para alterar o arquivo, eles estão usando o "editor de Tarefas" a partir do menu. Dependendo das "tarefas", haverá uma decisão se a atividade executada irá infectar os visitantes ou não. Neste caso, eles foram encontrados atacando duas faixas pertencentes a:
"Country A" - Federal Government Network
"Country B" - Government Telecommunications e Informatics Services Network
Dessa forma, é possível observar, que o fato dos atacantes terem como alvo esses intervalos não significa, necessariamente, que eles também foram infectados. Alguns outros IPs desconhecidos também foram observados nos horários de segmentação. Há também um arquivo "except.css", a partir do qual os atacantes registram as razões pelas quais eles não tentam explorar determinados visitantes. Existem três possíveis "value":
TRY
DON'T TRY -> Version of the browser and OS does not meet the conditions
DON'T TRY -> (2012-09-19 10:02:04) - checktime
Essas são as razões "don't meet the conditions", que foram observadas em logs:
Windows 7 or 2008 R2
MSIE 8.0
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
Adobe Shockwave 11.5.1.601
Adobe Flash 10.3.181.14
Adobe Reader 10.1.0.0
Win Media Player 12.0.7601.17514
Quick Time null
MS Word null
Java null
O Backdoor Epic/Tavdig/Wipbot
Para a primeira fase do ataque, o atacante ameaça usa um backdoor personalizado. Em alguns casos, o backdoor é embalado juntamente com a CVE-2013-5065 EoP exploit e fortemente ofuscado. Isto, certamente, torna a análise mais difícil. O CVE-2013-5065 permite que o backdoor consiga privilégios de administrador no sistema, e passe a executá-los sem restrições. Vale lembrar que este exploit só funciona em sistemas Windows XP desatualizados.
Outros nomes conhecidos para detecção do backdoor é Trojan.Wipbot (Symantec) ou Tavdig. O backdoor é de cerca de 60KB de tamanho e implementa um protocolo de C & C sobre as solicitações HTTP habituais. O protocolo de comunicação usa solicitações xxx nas respostas C & C, que decodifica malware e processos afins. As respostas são enviadas de volta para o servidor de C & C através do mesmo canal. Além disso, o comportamento do malware é definido por um bloco de configuração. Este bloco de configuração geralmente contém dois C & C com URLs codificados. A configuração também pode ser atualizada em tempo real pelos atacantes, através do C & C.
Saiba Mais:
[1] The Epic Turla Operation
http://securelist.com/analysis/publi...rla-operation/