Ursa 工具库剖析 Turla 又名Pensive

Turla（又名Pensive Ursa、Uroburos、Snake）是一个至少从2004年开局运转，总部位于俄罗斯的一个攻打组织。该组织与俄罗斯联邦安保局（FSB）有必定咨询。接上去，咱们将在这篇文章中引见Pensive Ursa工具库中最近生动的10种恶意软件：Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

MITRE ATT&CK称Turla是以其有针对性的攻打和隐身而知名，多年来，Pensive Ursa曾经成为一个先进而难以被发现的恶意软件。

正如MITRE所形容的那样，Pensive Ursa已对至少45个国度动员过攻打，包含政府实体、大使馆和军事组织，以及教育、钻研和制药公司。此外，该组织还介入了2022年2月开局的俄乌抵触。据乌克兰CERT称，Pensive Ursa应用特务攻打乌克兰指标，特意是针对其国防部门。

只管Pensive Ursa关键应用他们的特待业具瞄准Windows设备，但也会攻打macOS和Linux设备。

以下是该团队工具库中最生动的10种恶意软件。关于每种类型的恶意软件，咱们都提供了冗长的形容和剖析，以及Cortex XDR如何检测和阻止攻打。

别名：DeliveryCheck、GAMEDAY；

恶意软件类型：后门；

初次发现2022年；

Capibar（又名DeliveryCheck，GAMEDAY）是Pensive Ursa后门，于2022年终次被观察到，关键用于对乌克兰国防军启动特务优惠，经过电子邮件将其作为带有恶意宏的文档流传。

Capibar经过下载并在内存中启动负载的方案义务而·继续存在。攻打组织将Capibar作为托管对象格局（MOF）文件装置在受攻打的MS Exchange主机上，使攻打者能够齐全控制主机。

下图显示了担任加载从其命令和控制（C2）接纳的XML的代码片段，图2显示了触发的警报：

Capibar代码段加载从其C2接纳的XML

恶意软件类型：后门；

初次发现2017年

Kazuar是.NET后门，于2017年被初次发现。Kazuar提供对其操作人员所针对的受感化系统的片面访问权限，Kazuar附带了一个弱小的命令集，包含远程加载额外插件，以增强后门性能的才干。

2021年，钻研人员发现，Kazuar和俄罗斯攻打组织在 SolarWinds执行中经常使用的SUNBURST后门之间存在幽默的代码堆叠和相似之处。2023年7月，乌克兰CERT破获了一次性特务执行，Pensive Ursa则是将Kazuar作为关键后门之一。

下图显示了Cortex XDR阻止将Kazuar DLL注入explorer.exe进程，下图显示为防止Kazuar而触发的警报：

恶意软件类型：模块化后门；

初次被发现2003年；

正如CISA在2023年5月形容的那样，臭名昭著的Snake恶意软件是Pensive Ursa工具集中最复杂的工具。该工具的关键目的是成功相当长一段期间的耐久性，并从公用指标中盗取数据。自2003年以来，它曾经开展了20年。

Snake在世界50多个国度被发现，美国司法部宣布申明，宣布了MEDUSA执行。在该执行中，他们查获了Snake恶意软件优惠和P2P网络。他们经常使用了联邦考查局开发的一种名为PERSEUS的工具，将其用作Snake恶意软件的阻止攻打。

基于先前的剖析，Snake恶意软件成功了可保养的代码设计，这标明其开发者具备较高的软件开发性能。

Snake成功了以下性能：

基于HTTP和TCP的通讯协定的自定义成功；

用于隐身的内核模块；

按键记载仪性能；

Snake最近的变种包含一个相似于上方形容的感化链。

Snake恶意软件流传示例

执行时，Snake从其资源中加载并执行Pensive Ursa的PNG Dropper恶意软件，并创立一个硬编码互斥体{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C，如下图所示：

而后，PNG监禁器解码并加载一个易受攻打的VM驱动程序，该驱动程序用于权限优化，以便将主Snake负载写入磁盘，并将其注册为服务。下图所示的Snake加载程序变体检测感化链中的多个阶段，这些阶段造成部署、服务注册和执行Snake主负载。

下图显示了Cortex XDR中弹出的执行阻止警报：

检测形式下Cortex XDR中显示的Snake执行检测

Cortex XDR中显示的Snake执行阻止警报

QUIETCANARY

别名：Tunnus；

恶意软件类型：后门；

初次发现2017；

自2019年以来，人们不时在经常使用QUIETCANRY观察Pensive Ursa，Tomiris组织甚至更早地经常使用了这个后门。

Pensive Ursa于2022年9月便针对乌克兰的指标部署了QUIETCANARY，以及Kopiluwak恶意软件。

QUIETCANRY是一个用.NET编写的轻量级后门，能够执行从其C2主机接纳的各种命令，包含下载额外的有效负载和执行恣意命令。它还成功了RC4加密，以包全其C2通讯。

下图显示了QUIETCANRY后门性能的不同类，展现了QUIETCANRY触发的基于Cortex XDR多层包全的警报：

QUIETCANRY代码中不同类的代码段

下图显示了执行阻止警报：

Cortex XDR中显示的QUIETCANARY/Tunnus执行阻止警报

恶意软件类型：流传器/下载器；

初次发现2016年；

Kopiluwak恶意软件于2016年底被初次发现，它是由各种类型的滴管作为多层JavaScript而启动有效负载流传的。

Pensive Ursa在2017年20主题功势MSIL滴管监禁了Kopiluak恶意软件，并在2022年末作为SFX可执行文件监禁。

Kopiluwak的JavaScript文件如下图所示，上方是C:\Windows\Temp\ path下的代码片段。其目的是搜集无关受攻打计算机的有价值的初始剖析消息，例如：

在指标位置列出文件；

检索运转的进程；

显示优惠的网络衔接；

攻打者经过运转systeminfo、tasklist、net、ipconfig和dir等侦查命令来成功此优惠，结果保留在名为result2.dat的文件中。

在检测形式下，在Cortex XDR中显示Kopiluwak执行检测

下图列出了由Kopiluwak执行，并由Cortex XDR检测到的侦查命令：

下图显示了Cortex XDR为Kopiluwak收回执行阻止警报：

Cortex XDR中显示的Kopiluak执行阻止警报

2019年，Pensive Ursa开局经常使用Topinambour滴管递送Kopiluak。该组织将Topinambour捆绑到一个非法的软件装置程序中。

装置后，Topinambour作为一个小的.NET文件被放到%localappdata%文件夹中，并作为一个方案义务写入。而后，该恶意软件与其硬编码的C2虚构公用主机（VPS）通讯，以传递Kopiluwak恶意软件。

Cortex XDR在检测形式下显示Topinambour执行检测

下图显示了Cortex XDR弹出的阻止警报：

Cortex XDR中显示的Topinambour执行阻止警报

恶意软件类型：后门；

初次发现2年；

2020年12月，ESET钻研人员发现了Crutch后门。依据Pensive Ursa的战术、技术和程序（TTP），攻打者应用后门攻打了欧洲的几个指标，包含一个欧盟成员国的外交部。

这个后门的关键目的是窃取敏感文件，并将数据暴露到Pensive Ursa运营商控制的Dropbox帐户。经常使用Dropbox等商业服务启动C2通讯是一种已知的（但有效的）技术，由于它是一种非法的服务，并与其余网络通讯相融合。

由于代码和TTP与Pensive Ursa的另一个名为Gazer的后门有很大的相似性，Crutch被以为是第二阶段的后门，其耐久性是经过DLL劫持成功的。

下图显示了Cortex XDR中Crutch的检测和阻止：

别名：Agent.btz；

恶意软件类型：后门；

初次发生2007年

PowerShell滴管在检测形式下将ComRAT监禁到Cortex XDR中显示的磁盘

ComRAT是Pensive Ursa最新鲜的后门之一，他们在恶意软件的早期迭代中将其命名为Agent.btz。

据报道，ComRAT于2007年终次被发现。从那时起，它启动了屡次更新，截至2020年，ComRAT曾经迭代了4版。此攻打是在C++中开发的，攻打者已经常使用PowerShell植入（如PowerStalion）启动部署。

下图显示了PowerShell滴管机制。攻打者在经常使用ComRAT时的关键目的是从低价值指标那里窃取和暴露秘密文件：

Cortex XDR中显示ComRAT PowerShell滴管执行阻止警报

下图形容了Cortex XDR中的PowerShell和DLL执行阻止：

Cortex XDR中显示的ComRAT DLL执行阻止警报

恶意软件类型：后门；

初次发现2014年

Carbon是一个模块化后门框架，Pensive Ursa曾经经常使用了几年。Carbon框架包含一个装置程序、一个协调器组件、一个通讯模块和一特性能文件。

Carbon还具备P2P通讯性能，攻打者经常使用该性能向受网络上影响的其余受感化设备发送命令。Carbon经过经常使用Pastebin等非法网络服务提供商接纳C2的命令。

下图显示了Carbon在Cortex XDR中的执行检测和阻止：

Carbon创立了一个加载附加组件的服务，该服务在检测形式下显示在Cortex XDR中

Cortex XDR中显示的Carbon执行阻止警报

HyperStack

恶意软件类型：后门；

初次亮相：2018年；

HyperStack（又名SilentMo，BigBoss）是一个RPC后门，于2018年终次被发现，攻打者在针对欧洲政府实体的执行中经常使用了它。HyperStack经常使用一个控制器启动操作，该控制器经常使用命名管道经过RPC与受HyperStack感化的受攻打环境中的其余计算机启动通讯。此通讯方法使攻打者能够控制本地网络上的计算机。

HyperStack显示了与Pensive Ursa的Carbon后门的几个相似之处，如加密方案、性能文件格局和日志记载商定。

下图显示了HyperStack在Cortex XDR中的检测和阻止：

HyperStack创立了一个用于耐久性的服务，在检测形式下显示在Cortex XDR中

恶意软件类型：后门；

初次发现2021年；

TinyTurla恶意软件于2021年被Talos初次发现，他们以为这是第二阶段的后门。美国、欧盟和起初的亚洲指标都发现了这种后门。

TinyTurla的关键性能包含：

下载其余有效负载；

向攻打者的C2主机上行文件；

执行其余进程；

如下图所示，攻打者经过批处置脚本将后门装置为名为WindowsTimeService的服务。批处置脚本还担任将C2主机的数据写入注册表。一旦后门被执行，它读取这些值将与其C2通讯。

它伪装成一个名为w64time.DLL的DLL，位于system32文件夹下。

上方形容的批处置脚本的内容

只管w32time.dll是一个非法的DLL，而且其余非法的DLL确实有32位和64位的变体，但是非法的w64time.dll并不存在。这种命名惯例旨在进一步扩散受益者的留意力，使他们不发生疑心。

下图显示了Cortex XDR检测批处置脚本、W64Time服务和TinyTurla DLL执行的编写和执行：

Cortex XDR在检测形式下显示TinyTurla阻止

战术、技术和程序(TTP)

Cortex XDR警报被映射到MITRE ATT&CK框架，并提供与攻打关系的战术和技术消息，如下图所示：

Pensive Ursa关系优惠和工具库在Cortex XDR中引发了多个警报，这些警报被映射到表1中援用的MITRE ATT&CK战术和技术。

总结

妇孺皆知，Pensive Ursa初级继续攻打（APT）组织是一个关键且继续存在的攻打组织。仰仗其先进的技术，其运营组织在针对世界行业的同时，也向群众展现了一种先进的规避形式。

咱们在本文探求了Pensive Ursa工具库中排名前十的恶意软件，并经过Palo Alto Networks Cortex XDR监测了其执行环节。这标明针对先进攻击经常使用多层包全形式的关键性。

由于Pensive Ursa APT攻打的受益者或者会形成严重损失，其结果不只限于财务损失和数据暴露，还包含影响关键基础设备的或者性，这或者会对国度安保和地缘政治发生影响。因此，每个组织，无论其规模或行业如何，都必定优先思考片面的安保策略，并投资多层安保措施，以防范Pensive Ursa等APT组织日益增长的攻打。

包全缓和解措施

Palo Alto Networks Cortex XDR和XSIAM的客户可以取得针对本文形容的Pensive Ursa恶意软件库的包全。

本文针对每种恶意软件都提出了阻止和检测警报：Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

SmartScore是一个共同的机器学习驱动的评分引擎，它将安保考查方法及其关系数据转换为混合评分系统，对一个触及已知Pensive Ursa工具和技术组合的事情启动了91分的评分，这是一个十分高的危险水平，如下图所示：

SmartScore无关该事情的消息，关于Palo Alto Networks的客户，其提供了与该组织关系的以下笼罩范畴：

Cortex XDR经过剖析来自多个数据源的用户优惠来检测基于用户和凭据的攻打，这些数据源包含：

终端；

网络防火墙；

优惠目录；

身份和访问治理处置方案；

云上班负载；

Cortex XDR经过设备学习，建设用户优惠随期间变动的档案，经过将新优惠与过去的优惠、p2p优惠和实体的预期行为启动比拟。

Cortex XDR检测到标明基于凭据攻打的意外优惠，它还提供了以下与本文中探讨的攻打关系的包全措施：

经常使用基于本地剖析模块的行为攻打包全和设备学习，防止执行已知恶意软件，并防止执行未知恶意软件；

经常使用Cortex XDR 3.4提供的新凭证搜集包全，防止经常使用凭证搜集工具和技术；

经常使用Cortex XDR 3.4中最新颁布的Anti-Webshell包全，防止攻打者从web shell中监禁和执行命令；

经常使用反响用模块以及行为攻打包全来防止对不同破绽的应用，包含ProxyShell和ProxyLogon；

Cortex XDR Pro经过行为剖析检测攻打后优惠，包含基于凭据的攻打。