近期，PassiveTotal針對Turla APT所用IP的自簽名證書進行了關聯分析，最終發現Turla APT的多個攻擊IP隸屬于多家衛星服務運營商，并且攻擊者還通過這些IP注冊了大量新的C&C域名。

FreeBuf百科

Turla APT組織，也被稱為Snake或者Uroboros，是迄今為止高級別的APT組織之一，卡巴斯基于2015年9月發現Turla活躍時間長達8年，其利用衛星通信固有的安全缺陷隱藏C&C服務器位置和控制中心。

自簽名證書：是一種由簽名實體頒發給自身的證書，即發布者和證書主體相同。對客戶端來說，是一種非權威、不信任的證書，而對于服務端的主要目的為數據加密和保證完整性和不可抵賴性。

1 攻擊架構分析

以IP地址和對應域名關系鏈為分析途徑，以SSL證書數據為分析重點：

PassiveTotal通過對相關SSL證書哈希值進行對比關聯，發現Turla APT的某些連接特征可以追溯至2013年，且大量攻擊IP對應的SSL證書與IP 83.229.75.141有關，且為同一證書。以下為證書信息：

證書為有效期10年的自簽名證書，無認證鏈和詳細信息，只有名為Ubuntu的通用名稱。該證書在2015年8月出現，且2016年1月與一起攻擊事件的IP結點相關：

通過與Turla攻擊架構對比發現，Turla攻擊中存在與此證書相關的大量IP和域名：

以SSL證書SHA-1哈希值f415844680ed9118ea74e0c7712b35044f0cc20d為對比，我們發現了與6家衛星服務運營商相關的另外26個IP地址，這6家衛星服務運營商為：

Skyvision（英國衛星服務運營商，卡巴斯基報告中曾提及）

Sidus（美國衛星廣播服務供應商）

Telesat（澳門宇宙衛星服務運營商，卡巴斯基報告中曾提及）

Astrium（歐洲阿斯特里姆衛星服務運營商）

Impuls Hellas（希臘衛星服務運營商）

Asia Broadcast Networks（亞洲廣播衛星公司）

2 證書變化

Turla APT 涉及的42個相關IP地址都基于同一自簽名SSL證書：

當PassiveTotal發布了上述攻擊架構的分析報告之后，該自簽名證書發生了改變：

以上變化表明，Turla APT并沒有放棄之前的攻擊架構，這些攻擊架構對其可能還存在利用價值。通過對IP和對應域名分析，結合Maltego的關聯結果，我們發現攻擊者基于該自簽名證書注冊了一些新的攻擊架構：

　　下圖為Turla APT新注冊的IP和相關域名關聯信息：

　　3 結論

Turla APT所利用的攻擊架構雖然已不作為主要的C&C服務，但仍然處于活躍狀態。證書注冊和域名變化信息表明這些攻擊架構可能被攻擊者運用于一些常規操作或低價值目標攻擊活動。

4 IOC

IP 地址：

209.239.79.69

82.146.174.240

82.146.166.61

193.220.55.6

83.229.62.212

169.255.100.152

113.208.81.33

82.146.174.40

82.146.175.52

113.208.81.48

83.229.75.141

77.246.76.19

209.239.79.121

209.239.79.125

217.194.150.31

82.146.166.58

217.194.149.111

169.255.100.122

169.255.101.65

113.208.81.55

217.8.36.239

83.229.62.210

82.146.175.48

82.146.175.69

41.203.79.74

77.73.187.223

217.194.150.22

域名：

trytowin[.]ignorelist[.]com

treesofter[.]mooo[.]com

sportinfo[.]yourtrap[.]com

profound[.]zzux[.]com

badget[.]ignorelist[.]com

norwaynews[.]mooo[.]com

dellservice[.]publicvm[.]com

priceline[.]publicvm[.]com

forumgeek[.]zzux[.]com

mouses[.]strangled[.]net

SHA-1:

f415844680ed9118ea74e0c7712b35044f0cc20d

*本文譯者：clouds，編譯來源：PassiveTotal，轉載須注明來自FreeBuf.COM