来自卡巴斯基的安全研究人员发现了一种新版本的COMpfun恶意软件,该恶意软件使用一种依赖于HTTP状态代码的机制来控制受感染的主机。
该恶意软件于去年11月首次被发现,并已部署在对欧洲外交实体的攻击中。
负责这次袭击的是一个名为Turla的组织,这是一个由国家资助的俄罗斯威胁行动者,历史上一直从事网络间谍活动。
Turla具有使用非标准和创新方法来构建恶意软件并进行隐式攻击的悠久历史。
众所周知,该组织劫持并使用电信卫星将恶意软件传送到全球偏远地区,开发了恶意软件,将其控制机制隐藏在布兰妮·斯皮尔斯(Britney Spears)的Instagram照片中发表的评论中,开发了通过垃圾邮件接收命令的电子邮件服务器后门,查找消息,黑客入侵了其他国家的网络间谍黑客组织,并一直在修改受害设备上的Chrome和Firefox安装,以便在HTTPS流量中隐藏一个小的指纹,以防它们后来用于跟踪受害人跨Internet主干网的流量。
卡巴斯基在今天发布的一份报告中透露了Turla的另一项新颖技术-即恶意软件,该软件以HTTP状态代码的形式从命令和控制(C&C)服务器接收指令。
新的COMPFUN版本
这种特定的恶意软件称为COMpfun,是一种典型的远程访问木马(RAT),它感染受害者,然后收集系统数据,记录击键并获取用户桌面的屏幕快照。所有收集的数据都被泄漏到远程C&C服务器。
第一个COMpfun版本在2014年大放异彩,今天,卡巴斯基说,他们去年发现了一个新的COMpfun版本。
这个新的升级版本不同于旧的COMpfun迭代。卡巴斯基表示,除了经典的类似于RAT的数据收集功能外,新的COMpfun版本还包括两个新功能。
首先是它能够监视USB可移动设备何时连接到受感染的主机,然后将自身传播到新设备。该特征被认为是Turla小组用来感染内部和/或气隙网络上其他系统的自我传播机制。
新的基于HTTP状态代码的C&C协议
第二个是新的C&C通信系统。根据卡巴斯基的说法,这种新的C&C恶意软件协议没有使用经典模式,即当HTTP或HTTPS请求携带明确定义的命令时,命令直接发送到受感染的主机(COMpfun恶意软件植入)。
安全研究人员和安全产品通常会扫描HTTP / HTTPS流量以查找类似于恶意软件命令的模式。当他们在HTTP标头或流量中看到类似CLI的参数时,通常这是明显的迹象,表明正在发生恶意行为。
为了避免这种类型的检测,Turla小组开发了一种新的基于HTTP状态代码的服务器-客户端C&C协议。
HTTP状态代码是服务器提供给连接客户端的国际标准化响应。状态码提供服务器的状态,它们用于告诉客户端(通常是浏览器)下一步该怎么做-例如断开连接,提供凭据,刷新连接等等。
卡巴斯基表示,Turla调整了这种已经存在了数十年的基本服务器-客户端机制,以适应COMpfun的C&C协议,其中COMpfun C&C充当服务器的角色,在受感染主机上运行的COMpfun植入物扮演客户端的角色。
卡巴斯基说,如果服务器以402(需要付款)状态代码响应,则每次COMpfun植入ping C&C服务器时,所有后续状态代码都是将来的命令。
例如,如果COMpfun服务器将响应402状态代码,然后响应200状态代码,则恶意软件植入程序会将其从主机计算机收集的所有数据上传到Turla C&C服务器。
研究人员说,他们已经能够对以下HTTP状态代码及其关联的COMpfun命令进行反向工程。
COMpfun报告再次说明了为什么Turla被认为是当今最复杂的网络间谍组织之一。
具有针对外交目标的历史,该组织在隐身上投入了大量资金,而俄罗斯的许多国家黑客组织并没有这样做,大多数组织的运作都非常嘈杂。
卡巴斯基报告中提供了有关COMpfun恶意软件和危害指标的其他详细信息。
*编译:Domino
*来自:ZDNET