你有看過衛星電視嗎？對裡面豐富的電影片道和廣播電臺是否感到非常驚訝？你有沒有想過了解衛星電話或衛星網路（satellite-based Internet connections）是如何運作的？如果我告訴你，除了娛樂，交通和天氣外衛星Internet還有更多的使用方法。更多，更多的...

Turla: Hiding Traces High in the Skies

如果你是APT團隊的成員，那麼你每天都需要處理各種不同的問題。其中一個，也可能是最大的任務就是不斷地入侵伺服器作為自己的C&C（command-and-control）。這些已經被入侵的伺服器通常被相關執法部門移除或被IPS關閉掉。有時候會被利用來跟蹤攻擊者的物理位置。

一些高階的攻擊者和商業駭客工具使用者找到了一個更好的解決方案--使用基於衛星Internet鏈路（satellite-based Internet links）。在過去，我們已經看到三個不同的攻擊者使用這些鏈路隱藏他們的業務。最特殊有趣的是Turla團隊。

Turla也稱之為Snake或者Uroburos，其名稱來自於最高階的rootkit。Turla網路間諜團隊已經活躍了8年之久。雖然已經有幾篇發表的論文闡述關於該團隊運作，但直到卡巴斯基實驗發表Epic Turla的研究報告才提供了它們一些比較特殊資料，如第一階段的watering hole感染攻擊。

Turla團隊之所以特殊不僅是他的工具複雜，包括Uroboros rootkit（又稱為Snake），以及透過內部LAN的多級代理網路繞過網閘的機制，但這次攻擊的後期階段使用的是基於衛星的C&C機制。

在這篇部落格中，我們希望清楚地闡明基於衛星C&C機制的APT組織，包括Turla/Snake組織，被他們所控制的重要受害者。當這些機制變得越來越流行的時候，系統管理員部署正確的防禦策略來減輕這種攻擊尤為重要。具體詳情請檢視附錄。

0x01 技術細節

---

雖然比較罕見，但自2007年以來，幾個頂尖的APT團隊一直在使用衛星鏈路來管理他們的業務。大多數情況下使用的是C&C基礎設施，Turla就是其中之一。使用這個方法有一些優點，比如很難分辯出發起攻擊的背後運營商，但它同時也給攻擊者帶來一些風險。

一方面，C&C伺服器的真實位置不容易被發現。基於衛星Internet的接收器可以位於任何衛星覆蓋區，而這個區域通常是非常大的。Turla團隊使用這個方法劫持下游鏈路不僅高度匿名，而且還不需要交衛星網路費用。

另一方面，衛星Internet有速度慢，不穩定等缺點。

開始的時候，我們和其它研究人員都不清楚觀察到的那些鏈路是否都是攻擊者購買的衛星商業網路，或者攻擊者違反了ISP使用路由層MitM（Man in the Middle）攻擊劫持流量。現在我們已經分析了這些機制，並得出了驚人的結論，Turla團隊使用的方法非常簡單明瞭，而且高度匿名，操作簡單，管理方便。

0x02 購買衛星網路鏈路，還是使用MitM攻擊或BGP劫持?

---

購買衛星Internet鏈路是APT團隊確保C&C業務運轉的選擇之一。然而，全雙工的衛星鏈路是非常昂貴的：一個簡單的雙工為1Mbit up/down衛星鏈路的費用可能高達每星期7000美刀。對於較長期的合同，這筆費用可能會大幅度降低，但頻寬仍然非常昂貴。

另一種獲得衛星IP範圍內的C&C伺服器方法是在衛星運營商和受害者注入沿途包劫持流量。這需要衛星提供商本身或者途徑的其它ISP的協助。

這種型別的劫持攻擊在2013年已經被Renesys的部落格記錄了下來。

據Renesys說：“各個提供商的BGP路由被劫持，其結果是他們部分網路流量被誤導流經白俄羅斯和冰島的ISP。我們有BGP路由資料記錄了2013年2月21日和5月份俄羅斯事件和2013年七月到八月份冰島事件的演進過程。”

在2015年部落格文章中，Dyn研究人員指出：“安全分析人員檢查警報日誌的時候要意識到發生事件的IP地址來源通常是可以偽造的。例如，來自New Jersey的Comcast IP地址的攻擊，其攻擊者可能正位於Eastern Europe，只是簡單徵用一下Comcast IP地址。有趣的是，上面討論的六個樣例均來自Europe或Russia。”

顯然，這種極其明顯和大規模的攻擊幾乎無法倖存太長時間，而這是執行APT的關鍵要求之一。因此，透過MitM劫持流量不是一個可行的方案，除非攻擊者直接控制一些諸如骨幹路由器和光纖高流量的網路點。有跡象表明，這種攻擊越來越普遍，但有一個更簡單的方法--劫持衛星網路。

0x03 劫持衛星鏈路（DVB-S）

---

S21Sec的研究人員Leonardo Nve Egea在過去已經介紹了幾次衛星DVB-S鏈路劫持，詳情檢視：hijacking satellite DVB links was delivered at BlackHat 2010。

劫持衛星DVB-S鏈路，需要執行以下操作：

• 衛星盤 - 大小取決於地理位置和衛星
• 低噪聲下變頻器（LNB）
• 專用的DVB-S調諧器（PCIe卡）
• 一臺PC，最好是執行Linux的PC。

衛星盤和LNB最少要符合標準。TBS卡可能是最重要的元件。目前最好的DVB-S卡是TBS Technologies生產的。TBS-6922SE也許是最好的入門級卡。

TBS-6922SE PCIe card for receiving DVB-S channels

上面所述的TBS卡特別適合這項任務，因為它有專門的Linux核心驅動並提供一個暴力掃描函式，允許測試寬頻範圍的訊號。當然，使用其它PCI或PCIe卡可能也沒問題。但是基於USB的卡相對較差，應該避免使用他們。

不同於雙全工衛星網路，Internet的downstream-only鏈路是用於加速Internet下載速度，它非常便宜而且容易部署。而且它們本身也是不安全的，流量沒有經過加密處理。這創造了被利用的可能性。

公司提供Internet downstream-only訪問許可權傳送點跟衛星來往。衛星廣播流量較大的在地面上，Ku波段（12-18Ghz）則透過某些IP類傳送點路由。

0x04 如何劫持衛星網路？

---

為了攻擊基於衛星的Internet，這些鏈路的合法使用者以及攻擊者自己的衛星盤需要指向特定衛星廣播流量，攻擊者利用這些未加密的資料包，確定透過衛星的下行鏈路路由的IP地址，然後監聽這個來自Internet的IP地址的資料包，一旦接收到TCP/IP的SYN包，他們就可以偽造一個TCP的SYN ACK應答包重新建立Internet鏈路。

同時，鏈路的合法使用者只是忽略所述的包，因為它流向沒有開放的埠，例如80或10080埠。這裡有個值得觀察的地方：通常情況下，如果一個資料包到達一個未開放的埠，會返回一個RST或FIN包到源地址表示這裡並不期待有資料包過來。然而對於慢速鏈路來說，防火牆通常是簡單地丟棄了那些傳送到未開放埠的資料包。這將創造一個濫用的機會。

0x05 受到侵害的Intenet範圍

---

在分析過程中，我們觀察到Turla團隊利用幾個衛星DVB-S Internet提供商，其中大部分是提供中東和非洲地區的downstream-only鏈路。有趣的是，覆蓋地區並不包括歐洲和非洲。這意味著在中東或非洲需要一個衛星盤。另外，一個更大的衛星盤（3米+）可於增強其它地區訊號。

為了計算衛星盤的大小，可以使用各種工具，包括諸如satbeams.com的線上工具：

Sample dish calculation – (c) www.satbeams.com

下表顯示了Turla攻擊者用域名解析器獲得的衛星Internet服務提供商那些與C&C伺服器相關的IP地址。

Note: 84.11.79.6 is hardcoded in the configuration block of the malicious sample.

下面是所觀察到的衛星IP地址相關資訊：

84.11.79.6這個IP比較有趣，它屬於IABG mbH的衛星IP範圍。

這個C&C伺服器IP地址是加密的，Turla團隊在一個Agent.DNE後門中使用到：

Agent.DNE C&C configuration

這個Agent.DNE樣本中的編譯時間戳是2007年11月22日14點34分15秒星期四。說明Turla團隊已使用了近八年的衛星Internet鏈路。

0x06 結論

---

這些鏈路通常都高達數個月，但從來不會太久。具體多久無法確定，因為有可能是伺服器自身的業務安全限定或者是其它方由於要進行其它惡意行為而關閉。

實現這些Internet鏈路的技術方法依賴於劫持各個ISP的下行頻寬。這是一種在技術上比較容易實現的方法。並可能提供比任何其它常規租用的VPS和駭客合法的伺服器更高程度的匿名性。

要實現這種攻擊方法，初期投資少於1000美刀。一年的定期維護費少於1000美刀。考慮到該方法簡單又便宜，但令人驚訝的是，我們還沒看到有更多的其它APT組織使用它，儘管它提供了無與倫比的匿名性。原因是它需要依賴於防彈主機（bullet-proof hosting），多級代理或肉雞網站。事實上，Turla團隊已經知道使用所有這些技術，使其成為一個非常通用的，動態的，靈活的網路間諜活動運轉機器。

最後應該指出的是，Turla不是使用基於衛星Internet鏈路唯一的APT團隊。基於C&C的駭客團隊可以參看上面的衛星IP，裡面有Xumuxu團隊和新近的Rocket kitten APT團隊。

如果此方法在APT團隊和網路犯罪組織大量使用，這將給IT安全和counter-intelligence社群造成嚴重後果。

Turla團隊使用的基於衛星的網際網路鏈路的論文全文適用於卡巴斯基情報服務的客戶

0x07 IOCs

• IPs：

  84.11.79.6
  41.190.233.29
  62.243.189.187
  62.243.189.215
  62.243.189.231
  77.246.71.10
  77.246.76.19
  77.73.187.223
  82.146.166.56
  82.146.166.62
  82.146.174.58
  83.229.75.141
  92.62.218.99
  92.62.219.172
  92.62.220.170
  92.62.221.30
  92.62.221.38
  209.239.79.121
  209.239.79.125
  209.239.79.15
  209.239.79.152
  209.239.79.33
  209.239.79.35
  209.239.79.47
  209.239.79.52
  209.239.79.55
  209.239.79.69
  209.239.82.7
  209.239.85.240
  209.239.89.100
  217.194.150.31
  217.20.242.22
  217.20.243.37
  

• Hostnames:

  accessdest.strangled[.]net
  bookstore.strangled[.]net
  bug.ignorelist[.]com
  cars-online.zapto[.]org
  chinafood.chickenkiller[.]com
  coldriver.strangled[.]net
  developarea.mooo[.]com
  downtown.crabdance[.]com
  easport-news.publicvm[.]com
  eurovision.chickenkiller[.]com
  fifa-rules.25u[.]com
  forum.sytes[.]net
  goldenroade.strangled[.]net
  greateplan.ocry[.]com
  health-everyday.faqserv[.]com
  highhills.ignorelist[.]com
  hockey-news.servehttp[.]com
  industrywork.mooo[.]com
  leagueoflegends.servequake[.]com
  marketplace.servehttp[.]com
  mediahistory.linkpc[.]net
  music-world.servemp3[.]com
  new-book.linkpc[.]net
  newgame.2waky[.]com
  newutils.3utilities[.]com
  nhl-blog.servegame[.]com
  nightstreet.toh[.]info
  olympik-blog.4dq[.]com
  onlineshop.sellclassics[.]com
  pressforum.serveblog[.]net
  radiobutton.mooo[.]com
  sealand.publicvm[.]com
  securesource.strangled[.]net
  softstream.strangled[.]net
  sportacademy.my03[.]com
  sportnewspaper.strangled[.]net
  supercar.ignorelist[.]com
  supernews.instanthq[.]com
  supernews.sytes[.]net
  telesport.mooo[.]com
  tiger.got-game[.]org
  top-facts.sytes[.]net
  track.strangled[.]net
  wargame.ignorelist[.]com
  weather-online.hopto[.]org
  wintersport.mrbasic[.]com
  x-files.zapto[.]org
  

• MD5s:

  0328dedfce54e185ad395ac44aa4223c
  18da7eea4e8a862a19c8c4f10d7341c0
  2a7670aa9d1cc64e61fd50f9f64296f9
  49d6cf436aa7bc5314aa4e78608872d8
  a44ee30f9f14e156ac0c2137af595cf7
  b0a1301bc25cfbe66afe596272f56475
  bcfee2fb5dbc111bfa892ff9e19e45c1
  d6211fec96c60114d41ec83874a1b31d
  e29a3cc864d943f0e3ede404a32f4189
  f5916f8f004ffb85e93b4d205576a247
  594cb9523e32a5bbf4eb1c491f06d4f9
  d5bd7211332d31dcead4bfb07b288473
  

• 卡巴斯基實驗室檢測到上述的Turla樣本：

  Backdoor.Win32.Turla.cd
  Backdoor.Win32.Turla.ce
  Backdoor.Win32.Turla.cl
  Backdoor.Win32.Turla.ch
  Backdoor.Win32.Turla.cj
  Backdoor.Win32.Turla.ck
  Trojan.Win32.Agent.dne
  

0x08 參考

---

1. Agent.btz: a Source of Inspiration?
2. The Epic Turla operation
3. The ‘Penquin’ Turla