LightNeuron与乌克兰黑客组织Turla有关系

随之服务器系统安全系数的提高，rootkit的应用近些年慢慢降低。因而，恶意程序开发人员特别是在是监视器机构的恶意程序开发人员忙碌开拓市场的秘密的恶意程序。

最近，ESET探讨工作员发觉乌克兰黑客组织Turla（别名Snake）应用了1个繁杂的侧门——LightNeuron。该侧门从2014年开使就持续进攻Microsoft Exchange邮件服务器，尽管沒有发觉Linux样版，可是依据Windows板本中的代码段，探讨工作员坚信有Linux变种存有。

受害人遍布

探讨工作员在剖析流程中发觉了最少3个不一样的受害人机构，如下图所示1如图。

图1 – 己知的LightNeuron受害人遍布

列举2个受害人机构是外交部和地域外交事务机构，与最近剖析的Turla活動相同。

依据上传入VirusTotal的样版剖析，探讨工作员发觉也有受害人坐落于墨西哥。

Turla与LightNeuron的关联

探讨工作员有充足证人证言坚信LightNeuron身后的运营人是Turla。下边是剖析流程中搜集的某些编码：

· 在1个招黑的exchange服务器上：

– 1个带有以前应属Turla的恶意程序的PowerShell角本在安裝LightNeuron前44分钟被放出了;

– 角本坐落于C:\windows\system32。 

· 安裝LightNeuron的角本名叫msinp.ps1，这也合乎Turla的文档命名规则。

· LightNeuron放出的另外招黑的虚拟主机是IntelliAdmin，这一远程管理道具是Turla应用的装包器。

· 对每一LightNeuron进攻，在同样的互联网上常有好几个Turla恶意程序的案例。

· 网络攻击应用的邮箱地址全是在GMX上注冊的，并装扮成目的机构的聘员。GMX都是Outlook侧门和PowerShell侧门PowerStallion的服务商。

在以前的这封APT趋向汇报中，Kaspersky探讨工作员也觉得LightNeuron与Turla黑客组织有关系。

运营人活動

在剖析招黑的财产时，探讨工作员又跟踪到网络攻击的活動。特别是在是能够投射出运营人的上班时间，它是根据招黑的Exchange虚拟主机接受带有侧门指令的邮箱的時间来明确的。

探讨工作员剖析觉得运营人所属的工做时区为UTC +3，上班时间为9到5点，如图2如图。

图2 – LightNeuron运营人的上班时间

但探讨工作员发觉2018年12月28日到2019年1月14日中间网络攻击是沒有活動的，而以前网络攻击每星期都是上传多封邮箱。这一阵子恰好是东正教圣诞节暑假，尽管未尝证实具备强关系，但能够觉得具备必须的联络。

关键特点

LightNeuron是首款进攻Microsoft Exchange邮件服务器的恶意程序，应用了这项以前没看到过的驻留工艺——Transport Agent。在邮箱服务器架构中，它运作的信赖等級与安全设备同样，例如垃圾邮件过滤器。图3小结了LightNeuron的运行流程。

图3 – LightNeuron Transport Agent

根据应用Transport Agent，LightNeuron能够：

· 载入和改动历经邮件服务器的全部邮箱

· 建立和上传新的邮箱

· 阻拦随意邮箱，使原先的接收者没法接受邮箱。

有个XML标准集进行了这种作用，如图4如图：

image.png

图4 – XML标准文档

标准中的邮件地址对每一受害人是订制的，以尽量进攻最喜欢的目的。

在标准的最终，LightNeuron保持了1个handler目录。标准中应用这种涵数来解决邮箱，表1中国共产党有11个不一样的handler名。

image.png

表1 –DLL中保持的handler叙述

侧门

command handler与实行邮箱改动的handler是不一样的，它事实上是邮箱操纵的侧门，指令应用隐写术掩藏在PDF或JPG附注中。

网络攻击只必须上传1个带有特殊仿冒文件类型的PDF/JPGword表格的邮箱到招黑的机构的邮件地址中就能够。应用表2中的指令能够完全控制Exchange虚拟主机。

image.png

表2 – 命令编码

邮箱鉴别为指令邮箱后，指令会实行，邮箱就会立即被Exchange虚拟主机阻拦。整个过程是密秘开展的，初始接收者没法见到它。

隐写术

LightNeuron应用隐写术来将指令掩藏在PDF附注或JPG图象中。那样，即便邮箱被检验到，也看起来是法律认可的，由于带有1个合理的附注。

假如掩藏在PDF文档中，指令统计资料能够在word表格的随意部位。LightNeuron运营人在PDF的打头加上了首个来特定统计资料地理位置的偏移量，如下图所示5如图。

图5 –带有LightNeuron指令器皿的PDF的十六进制表示

统计资料块用AES